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Samstag, 19. Oktober 2013 
DVD-Vorstandssitzung 

Bonn. Anmeldung in der Geschäftsstelle 
dvd@datenschutzverein.de 


Sonntag, 20. Oktober 2013 
DVD-Mitgliederversammlung 
Bonn. 
dvd@datenschutzverein.de 


Wir weisen darauf hin, dass wir am 
Vorabend, 19.10.2013 in einem Bon- 
ner Restaurant ab 19 Uhr ein Daten- 
schutz-Gespräch mit Abendessen 
veranstalten. Zu diesem Gespräch hat 
der Bonner SPD-BT-Abgeordnete 
und stellvertretende Vorsitzende der 
BT-Fraktion der SPD Ulrich Kelber 
seine Teilnahme zugesagt. Er ist unter 
anderem als Vorreiter der Idee des 
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„gläsernen Abgeordneten“ bekannt und setzt sich darüber 
hinaus nachdrücklich für Datenschutz ein. Mit Sicherheit 
wird er ein sehr kompetenter Gesprächspartner sein. 

Wir würden uns freuen, wenn viele Mitglieder diese Gele- 
genheit ergreifen und uns beim Abendessen Gesellschaft 
leisten würden. Zur besseren Planung des Platzbedarfs 
bitten wir möglichst bis zum 12.10.2013 um Anmeldung in 
der Geschäftsstelle (E-Mail oder telefonisch). Der Veran- 
staltungsort in Bonn wird rechtzeitig bekanntgegeben. 


Freitag, 1. November 2013 


Redaktionsschluss DANA 4/13 
Thema: Datenschutz-Grundverordnung und Europa 
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Editorial 


Liebe Leserinnen, liebe Leser, 


wenn Sie diese Seite aufschlagen, sind Sie vielleicht noch in bester Stimmung, 
die Sie von der Freiheit-statt-Angst-Demonstration in Berlin mit nach Hause 
gebracht haben. Und auch wir haben uns trotz des Ehrgeiz, Ihnen eine fachlich 
spezfisiche Ausgabe zur Kommunalverwaltung vorzulegen, keine Atempause 
von den populären, weltumspannenden Themen genehmigt und fiebern dem 
nächsten Einblick Edward Snowdens in die Realität unserer Kommunikation 
post 9/11 entgegen. Einiges davon finden Sie auch im Nachichtenteil. Zu 
Recht fragt Thilo Weichert in diesem Heft, ob uns das alles wirklich überra- 
schen musste. In der Tat: Dass sich eine asymetrische Sicherheitspartnerschaft 
mit bestimmten Verbündeten nicht als Schonwaschgang für die Grundrechte 
in Deutschland erweisen würde, war abzusehen. Das Selbstbewusstsein die- 
ser Verbündeten einerseits und wirre Reaktionen der höchsten politischen 
Entscheidungsträger in der Bundesrepublik andererseits werfen die Frage 
nach der Balance von Sicherheit durch den Staat und Sicherheit vor dem Staat 
wieder einmal neu auf. Apropos: Haben Sie Ihr Kreuz am 22. September an 
der richtigen Stelle gemacht? 


Bitte werfen Sie noch einen kurzen Blick auf die Änderungen, die wir beim 
Preis der DANA vornehmen müssen (S. 113 in diesem Heft). Wir sehen uns 
auf der Mitgliederversammlung der DVD in Bonn am 20.10.2013. Bis dahin 
wünscht Ihnen wieder einmal starke Nerven beim Zeitunglesen und einen 
goldenen Herbst... 


Sönke Hilbrans 


Autorinnen und Autoren dieser Ausgabe: 


Karsten Neumann 
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Anke Schröder 


Die Gemeinsamen Datenschutzbeauftragten 


Ein Bericht über die Erfahrungen als externe behördliche Datenschutzbeauftragte 
in mecklenburg-vorpommerschen Gemeindeverwaltungen. 


Wie alles begann? 


In 2006/2007 wurden in Mecklenburg- 
Vorpommern (M-V) das elektronische 
Rückmeldeverfahren und das Zentrale 
Informationsregister im Meldewesen 
eingeführt. Damit ist es möglich, 
elektronisch Meldedaten zwischen 
Behörden auszutauschen und Online- 
Melderegisterauskünfte zu erteilen. Bei 
der Einführung der Verfahren war der 
Landesdatenschutzbeauftragte M-V 
(LfDI M-V) umfassend beteiligt und 
hat den Gemeindeverwaltungen viele 
„Hausaufgaben“ aufgegeben, damit die 
Verfahren sicher und datenschutzgerecht 
betrieben werden können. Es gab mehr- 
hundertseitige Informationen zu rechtli- 
chen Datenschutz- und IT-Sicherheits- 
anforderungen auf Grundlage des BSI 
IT-Grundschutzes.' Etwa zur gleichen 
Zeit gründeten, auf Initiative des Innen- 
ministeriums M-V und der kommunalen 
Spitzenverbände, 11 Städte und Ämter 
den Zweckverband „Elektronische 
VerwaltunginM-V“(ZVeGOM-V)’, um 
die anstehenden Herausforderungen des 
eGovernment gemeinsam anzugehen. 
Mehrheitlicher Wunsch der Gründungs- 
mitglieder war, dass der Zweckverband 
sich dem Thema Datenschutz widmet 
und die Verwaltungen bei der Erfüllung 
dieser Aufgaben unterstützt. Als erstes 
nahmen sie sich der „Datenschutzhaus- 
aufgaben“ bei den elektronischen Melde- 
verfahren an und kamen auf die Idee, ei- 
nen Vollzeitdatenschutzbeauftragten für 
mehrere Verwaltungen zu beschäftig- 
ten. Nach $ 20 Absatz 1 Satz 2 Daten- 
schutzgesetz M-V (DSG M-V°) „kön- 
nen mehrere Daten verarbeitende Stellen 
denselben behördlichen Datenschutz- 
beauftragten bestellen.“ In Absprache 
mit dem LfDI M-V - der der Idee zwar 
skeptisch, aber wohlwollend gegenüber- 
stand — wurde ein erster Gemeinsamer 
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Datenschutzbeauftragter° angestellt, 
der zunächst 10 vorwiegend kleine- 
re Gemeindeverwaltungen als externer 
behördlicher Datenschutzbeauftragter 
betreute. Das Modell® machte Schule, 
die anfängliche Skepsis des LfDI M-V 
schwand — und heute sind bereits drei 
Gemeinsame Datenschutzbeauftragte 
tätig. 


Gemeinsamer 
Datenschutzbeauftragter? 


Natürlich denkt man sofort, ein 
Datenschutzbeauftragter vor Ort 
muss doch besser sein, als ein exter- 
ner Berater. Das mag zwar theore- 
tisch stimmen, hat aber mit der Praxis 
nichts zu tun. Zwar muss jede öffent- 
liche Stelle in M-V einen behördli- 
chen Datenschutzbeauftragten und 
sogar einen Vertreter schriftlich be- 
stellen (vgl. $ 20 Abs. 1, S. 1 DSG 
M-V)’; welche Möglichkeiten dieser 
zur Wahrnehmung seiner Aufgaben 
hat, steht aber auf einem anderen 
Blatt. Häufig existiert die Bestellung 
nur auf dem Papier, ein angemessenes 
Zeitkontingent zur Aufgabeerledigung 
ist aber nicht vorgesehen. Angesichts 
des oder oft der Hauptaufgabengebiete 
des „Betroffenen“ ist eine Befassung 
mit dem Datenschutz in (kleine- 
ren) Gemeindeverwaltungen da- 
her kaum zu leisten. Ein externer 
Vollzeitdatenschutzbeauftragter kann 
den Nicht-ständig-vor-Ort-zu-sein- 
Nachteil daher schon dadurch ausglei- 
chen, dass er sich mit dem Datenschutz 
in fachlicher Hinsicht intensiv be- 
schäftigen kann und weiß, an welchen 
Stellen Prüfungs- und Handlungsbedarf 
bestehen kann. Natürlich muss auch ein 
externer Beauftragter einen Überblick 
über die betreute Verwaltung und de- 
ren Beschäftigte haben — dieser lässt 


sich durch regelmäßige Vor-Ort- 
Besuche erlangen und stetig vertie- 
fen. Auch durch Nutzung moderner 
Kommunikationsmittel lassen sich 
räumliche Entfernungen kurzfristig 
überbrücken. Damit bietet ein externer 
Datenschutzbeauftragter eine umfang- 
reichere Sachkunde und durch die zu- 
sätzliche Nutzung von Synergieeffekten 
ein insgesamt besseres Kosten-Nutzen- 
Verhältnis. Als Externer unterliegt der 
Datenschutzbeauftragte i.d.R. auch 
keinem Interessenkonflikt und ist bei 
seinen Prüfungen, Beratungen und 
Empfehlungen objektiver, als es ein 
hausinterner Beauftragter sein kann. 
Die gesetzlichen Anforderungen an 
den Datenschutzbeauftragten — „kei- 
nem Interessenkonflikt mit sonstigen 
dienstlichen Aufgaben“ ausgesetzt 
zu sein und „die zur Erfüllung sei- 
ner Aufgabe erforderliche Sachkunde 
und Zuverlässigkeit“ zu besitzen (vgl. 
$ 20 Abs. 1 S. 3 DSG M-V)® - erfüllt 
ein externer daher oft besser, als ein 
interner Datenschutzbeauftragter. Mit 
der Bestellung eines Gemeinsamen 
Datenschutzbeauftragten haben daher 
viele Gemeindeverwaltungen einen 
Schritt zu mehr Datenschutz getan. 


Welche Themen? 


ErsteKontaktpersondesGemeinsamen 
Datenschutzbeauftragten ist der aus dem 
Kreis der Beschäftigten der betreuten 
Verwaltung bestellte stellvertretende 
behördliche Datenschutzbeauftragten’. 
Dieser organisiert und koordiniert die 
Vor-Ort-Besuche, kennt die richti- 
gen — nicht nur zuständigen, sondern 
auch zupackenden — Ansprechpartner 
für die verschiedenen Aufgaben 
und trägt mit zur Abarbeitung der 
Datenschutzaufgaben bei. Nach ei- 
ner Bestandsaufnahme zum Stand von 
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Datenschutz und Datensicherheit in 
der Verwaltung gibt der Gemeinsame 
Datenschutzbeauftragte Empfehlungen 
zu notwendigen Maßnahmen und ver- 
sucht, deren Umsetzung voranzutreiben 
— dafür braucht er häufig einen langen 
Atem. 

(1) Zu einer der ersten Aufgaben des 
Gemeinsamen Datenschutzbeauftragten 
gehört es, Beschäftigtenschulungen zum 
Datenschutz durchzuführen und dabei 
die Beschäftigten (teilweise erstmalig) 
auf das Datengeheimnis zu verpflich- 
ten (vgl. $ 6 DSG M-V).!” Neben der 
Erläuterung des Rechts auf informatio- 
nelle Selbstbestimmung, der gesetzli- 
chen Grundlagen des Datenschutzrechts 
und praktischen Anleitungen zum 
datenschutzgerechten Verhalten am 
Arbeitsplatz gehören dazu auch Hin- 
weise zum Beschäftigtendatenschutz. 
Die Schulungen werden folgend in re- 
gelmäßigem Abstand (2-3 Jahres- 
rhythmus) durchgeführt. Dies verfe- 
stigt das Thema an sich und bietet die 
Möglichkeit, neue Themen gemeinsam 
zu diskutieren. Gleichzeitig verdeutlicht 
die Behördenleitung durch „Gestattung“ 
der Schulung die Wichtigkeit des 
Themas, denn Schulungsmaßnahmen 
werden bei weitem nicht zu jedem er- 
forderlichen Themenbereich regelmä- 
Big durchgeführt. Die Sensibilisierung 
der Beschäftigten für den Datenschutz 
wird darüber hinaus — oder besser ins- 
besondere — durch viele persönli- 
che Gespräche im Rahmen der re- 
gelmäßigen Vor-Ort-Besuche des 
Gemeinsamen Datenschutzbeauftragten 
in den Verwaltungen bewirkt. Durch 
die Cartoon-Ausstellung „Datenschutz 
— Nie war er so wertvoll wie heute!“ 
mit Werken von Reinhard Alff, die durch 
die WVerwaltungsgebäude „wandert“, 
werden die Beschäftigten, wie auch die 
Verwaltungsbesucher in humorvoller 
Weise auf den Datenschutz aufmerksam 
gemacht. 

(2) Ein Thema, welches die betreu- 
ten Verwaltungen meist besonders in- 
teressiert, ist das Verfahrensverzeichnis 
mit den Verfahrensbeschreibungen 
für jedes von ihnen eingesetz- 
te (automatisierte) Verfahren. In den 
Beschreibungen sind die Zwecke, 
Rechtsgrundlagen und die Art und 
Weise der Datenverarbeitung, der Kreis 
der Betroffenen, Datenübermittlungen 
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und umgesetzte Sicherheitsmaßnahmen 
zu beschreiben (vgl. $ 18 DSG M-V).'? 
Sie dienen als Grundlage für die ggf. 
notwendige Vorabkontrolle durch den 
behördlichen Datenschutzbeauftragten 
und die Freigabe der Verfahren 
durch den Leiter der datenverarbei- 
tenden Stelle ($ 19 DSG M-V). Die 
Beschreibungen sind von der datenver- 
arbeitenden Stelle anzufertigen und dem 
Datenschutzbeauftragten zu übermitteln 
— so zumindest die Theorie. In der Praxis 
denken die Verwaltungen aber häufig, die 
Anfertigung dieser Dokumentationen 
sei (Haupt)Aufgabe des behördlichen 
Datenschutzbeauftragten — hier ist zu- 
nächst entsprechende Aufklärungsarbeit 
zu leisten. Letztlich unterstützt der 
Gemeinsame Datenschutzbeauftragte 
die Verwaltungen aber auch inso- 
weit. So werden Mustervorlagen 
zur Ausfüllung zunächst durch die 
Fachverfahrensanbieter und dann durch 
die zuständigen Beschäftigten erstellt. 
Durch persönliche Gespräche in den 
jeweiligen Fachbereichen zu den tat- 
sächlichen Verfahrensabläufen und 
HintergründenderFachaufgabeerhältder 
Gemeinsame Datenschutzbeauftragte 
nähere Informationen undkann dann wei- 
tere konkretere Hinweise zur Erstellung 
der Verfahrensbeschreibungen lie- 
fern. Ein wichtiger Punkt ist in diesem 
Zusammenhang auch die Umsetzung 
notwendiger Sicherheitsmaßnahmen. 
Ergibt sich im Gespräch, dass z.B. re- 
gelmäßig Daten per E-Mail an eine an- 
dere Behörde übermittelt werden, kann 
gezielt über die Notwendigkeit von 
Verschlüsselung aufgeklärt und zur 
Etablierung entsprechender Verfahren 
beigetragen werden. 

(3) Datenschutz funktioniert nur, 
wenn die erforderlichen Daten- und IT- 
Sicherheitsmaßnahmen ergriffen wer- 
den. Der LfDI M-V verweist insoweit 
stetig auf den BSI IT-Grundschutz." 
Dieser bietet eine Vielzahl konkreter 
Maßnahmenempfehlungen, im BSI- 
Standard 100-2'* Hinweise für die 
Vorgehensweise bei der Umsetzung 
der Empfehlungen und mit dem 
GSTOOL°, ein (u.a. für unmittelbare 
Kommunalverwaltungen kostenfreies) 
Anwendungswerkzeug zur Erstellung 
von Sicherheitskonzepten. Nichtnurklei- 
ne Gemeindeverwaltungen sind mit dem 
BSI-IT-Grundschutz häufig überfordert. 


Zwar erkennen die Behördenleitungen 
immer häufiger ihre diesbezügliche 
Verantwortung, sehen sich angesichts ih- 
rer fachlich personellen Möglichkeiten 
aber kaum in der Lage, in strukturier- 
ter und umfassender Weise die notwen- 
digen Konzeptionen und insbesondere 
Dokumentationen zu bewerkstelligen. 
Das heißt abernicht, dass es keine Daten- 
und IT-Sicherheit in den Verwaltungen 
gibt. Die grundlegenden Sicherheitsan- 
forderungen sind i.d.R. insbesondere 
durch entsprechende Maßnahmen exter- 
ner EDV-Dienstleister erfüllt, z.B. die 
Abschottung des Behördennetzwerkes 
durch Firewalls, den Einsatz zentraler 
und dezentraler Virenschutzsysteme, 
den Passwortschutz für IT-Systeme, 
abgeschottete Serverräume usw. Eine 
Dokumentation dieser Maßnahmen gibt 
es aber kaum. Die Dokumentation von 
IT-Sicherheitskonzepten nach IT-Grund- 
schutz ist nicht Aufgabe des behörd- 
lichen Datenschutzbeauftragten (auch 
wenn dies häufig angenommen wird), 
dieser hat vielmehr darauf hinzuwir- 
ken, dass solche Konzeptionen und 
Dokumentationen erarbeitet werden. Die 
Gemeinsamen Datenschutzbeauftragten 
geben insoweit konkrete Empfehlungen 
zu umzusetzenden Maßnahmen z.B. zur 
notwendigen Laufwerks- und Schnitt- 
stellensperre, Verbesserung der Pass- 
wortkonventionen auch in den einzelnen 
Fachverfahren, Optimierung der Rechte- 
strukturierung, Notwendigkeit von Ver- 
schlüsselungsverfahren, Klimatisierung 
des Serverraums usw. Für die häufig feh- 
lenden Organisationsregeln entwerfen 
sie konkrete Regelungsvorschläge, z.B. 
für Dienstanweisungen zur Nutzung von 
IT-Systemen, mobilen Speichermedien, 
Smartphones oder Dienstvereinbarungen 
zur Nutzung der Kommunikations- 
systeme Internet, E-Mail und Telefon. 
Bis zur Inkraftsetzung dieser ist es oft ein 
langer Weg mit viel Überzeugungsarbeit; 
sowohl auf Seiten der Behördenleitung, 
als auch auf Seiten des Personalrates. 
E-Governmentverfahren (z.B. elektro- 
nische Personenstandsregisterführung, 
elektronisches Fundsachenregister) 
werden meist als zentrale Verfahren in 
Rechenzentren betrieben, die von den 
Gemeindeverwaltungen genutzt wer- 
den können oder müssen. Auch das all- 
gemeine Hosting von Fachverfahren 
(z.B. Sitzungsdienstprogramme) in 
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Rechenzentren nimmt zu. Dies führt 
zu einer Professionalisierung der 
Daten- und IT-Sicherheit. Werden die- 
se Verfahren als Gemeinsame Verfahren 
1.S.v. $ 3 Absatz 10 i.V.m Absatz 5 
DSG M-V 's ausgestaltet, führt dies dazu, 
dass die Datenschutz-Verantwortung 
auf mehrere Schultern verteilt wird (an- 
ders bei der Auftragsdatenverarbeitung, 
bei der der Auftraggeber immer in der 
Gesamtverantwortung ist). Dieses 
Modell der Verantwortungsteilung 
muss angesichts der zunehmenden 
Komplexität und insbesondere bei 
Ebenen-übergreifenden E-Government- 
verfahren noch weiter ausgebaut wer- 
den. Die Verantwortungsübernahme 
darf dabei nicht nur bei den Gemeinden 
verbleiben, sondern muss auch die 
Landes- und Bundesebene einbezie- 
hen. Die Verfahren zur Ausgestaltung 
und Wahrnehmung dieser gemeinsamen 
Verantwortung müssen noch entwickelt 
werden. Denkbar wären beispielswei- 
se zentrale Prüfverfahren’, Aufgaben 
des übertragenen Wirkungskreises der 
Gemeinden betreffend, die vom je- 
weiligen „Aufgabensteller“ (Bund 
oder Land) auf eigene Kosten (als 
Teil der Verantwortungsübernahme) 
wahrgenommen und schon bei der 
Aufgabeübertragung mit _vorgese- 
hen werden. Es könnte also z.B. ein 
„Bundesprüfer“ ins Rechenzentrum 
kommen, das konkret umgesetzte 


Personenstandsregisterverfahren hin- 
sichtlich Datenschutz- und Daten- 
sicherheitskonformität prüfen und 


anschließend im Ergebnis die Ord- 
nungsmäßigkeit feststellen. Dieses 
Ergebnis würde dann gleichzeitig für 
die Gemeinden bedeuten, dass sie ihre 
datenschutzrechtlichen Verpflichtungen 
erfüllt haben und grundsätzlich von 
weiteren Prüfpflichten entbunden sind. 
Regelmäßige Wiederholungsprüfungen 
sind angesichts der rechtlichen und tech- 
nischen Weiterentwicklungen natürlich 
notwendig. 

(4) Auch Auftragsdatenverarbeitungen 
(ADV) sind in den Gemeindever- 
waltungen ein Thema. Werden per- 
sonenbezogene Daten im Auftrag der 
Verwaltungen durch Dritte verarbei- 
tet, müssen die Dritten auch unter 
Datenschutzgesichtspunkten ausgewählt 
und mit ihnen ausreichende Datenschutz- 
regelungen schriftlich vereinbart werden 
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(vgl. $ 4 DSG$ M-V).'® Insbesondere 
bei Wartungs-, Fernwartungs- und an- 
deren Hilfstätigkeiten fehlen solche 
Regelungen häufig. Hier gilt es, konkre- 
te Vorschläge zu unterbreiten und teilwei- 
se auch den Vertragspartnern „schmack- 
haft“ zu machen. Manchmal funktioniert 
dies auch sehr leicht: man bekommt den 
unterschriebenen ADV-Vertrag schnell 
zurück und kurze Zeit später kommt die 
Frage: „Sie wollen doch nicht wirklich 
bei uns prüfen kommen?“ 

(5) Mittlerweile ist auch jede 
Gemeindeverwaltung im Internet präsent 
— es gilt somit auch dabei entsprechen- 
de Datenschutzregeln einzuhalten. Die 
UmsetzungdernotwendigenDatenschutz- 
erklärungen'” und die Beratung über er- 
forderliche Einwilligungen für bestimm- 
te Veröffentlichungen, insbesondere von 
Fotos”, spielen in der Beratungspraxis 
eine große Rolle. Immer häufiger werden 
beispielsweise persönliche Kontaktdaten 
der kommunalen Gremienmitglieder 
und vielfältige Informationen aus dem 
Gemeindeleben mit Fotos auf den 
Homepages veröffentlicht. Beim Einsatz 
von Bürgerinformationssystemen wer- 
den auch Niederschriften von öffentli- 
chen kommunalen Gremiensitzungen 
und öffentliche Beschlussvorlagen 
im Internet veröffentlicht. Zwar wa- 
ren diese Informationen auch vorher 
schon öffentlich zugänglich — bei ei- 
nem Besuch im Rathaus kann jeder öf- 
fentliche Niederschriften einsehen. Die 
Onlineveröffentlichung stellt aber eine 
ganz andere Qualität und Quantität 
dar, der durch eine datenschutzgerech- 
te Gestaltung der Informationen ausrei- 
chend Rechnung getragen werden muss. 
Auch die Themen Teilnahme an Sozialen 
Netzwerken und Nutzung von „Gefällt- 
mir-Buttons“ spielt eine zunehmende 
Rolle. Wenn entgegen der Empfehlungdes 
Gemeinsamen Datenschutzbeauftragten 
diese dennoch genutzt werden, muss zu- 
mindest auf die Intensivierung der dies- 
bezüglichen Informationspflichten ge- 
drängt werden (z.B. Impressumpflicht, 
Zusatzinformationen in der Datenschutz- 
erklärung, 2-Klick-Lösung). 

(6) Im Laufe der Zusammenarbeit 
werden neben grundlegenden Daten- 
schutzfragen auch Spezialthemen 
aus einzelnen Fachbereichen aufge- 
griffen, z.B. zur datenschutzgerech- 
ten Konfiguration der behördeninter- 


nen Melderegisterkurzauskunft oder 
zum Datenschutz im Zusammenhang 
mit Wahlen. Diesbezüglich notwendige 
Datenschutzmaßnahmen lassen sich oft 
leichter umsetzen, als die grundlegenden 
Gesamtanforderungen, da sie insgesamt 
überschaubarer und bezogen auf einen 
konkreten Anwendungsfall leichter inte- 
grierbar sind. Insbesondere aus kleine- 
ren Gemeindeverwaltungen erhalten die 
Gemeinsamen Datenschutzbeauftragten 
auch immer wieder ganz spezielle 
Anfragen, wie z.B. „Darf einem vom 
Amtsgerichtbestellten Sachverständigen 
zur  Verkehrswertermittlung eines 
Privatgrundstücks auf Anfrage mitgeteilt 
werden, ob und ggf. in welcher Höhe öf- 
fentliche Lasten auf dem Grundstück lie- 
gen?“ Teilweise betreffen die Anfragen 
auch Standardkenntnisse des jeweiligen 
Fachbereichs, wie z.B. „Darf ich auf 
Anfrage Auskunft zu Name, betriebli- 
cher Anschrift und angezeigter Tätigkeit 
eines Gewerbetreibenden geben?“ Durch 
die geringer werdende Personaldecke 
und die damit verbundene Kumulation 
mehrerer Fachaufgaben bei einzelnen 
Beschäftigten ist es diesen nicht mehr 
möglich, hinsichtlich ihrer gesamten 
Aufgabenbereiche auf dem jeweils ak- 
tuellen Fachstand zu sein. Bedenkt man, 
dass Gemeindeverwaltungen ca. 300 — 
500 Gesetze umzusetzen haben, ist leicht 
nachvollziehbar, dass ein Beschäftigter 
einer 20-Mann-Verwaltung bei durch- 
schnittlich von ihm zu berücksichtigen- 
den 100 Gesetzen nicht immer auf dem 
neuesten Stand sein kann. Hier ist auch 
die Fachaufsicht gefordert, im Rahmen 
von Erlassen, Informationsschreiben 
und Fachbesprechungen konkre- 
te Hinweise zu gesetzlichen Daten- 
übermittlungsbefugnissen und weiteren 
Datenschutzregelungen zu geben. 

Insgesamt hat sich das Modell 
Gemeinsamer Datenschutzbeauftragter 
gut etabliert und bewährt. In den be- 
treuten Verwaltungen konnte das 
Datenschutzniveau signifikant verbes- 
sert werden. Ein Ende dieser Arbeit ist 
aber sicherlich nicht in Sicht. 


1 https://www.bsi.bund.de/DE/Themen/ 
ITGrundschutz/itgrundschutz_node.html 
2. http://www.ego-mv.de 


3 http://www.landesrecht-mv.de/ 
jportal/portal/page/bsmvprod. 
psml?showdoccase=1&doe.id>jlr- 
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DSGMVpG2&doc.part=X&doc. 
origin=bs&st=1r 


4 Ähnliche Formulierungen gibt es auch 
in anderen Bundesländern (vgl. z.B. $ 
32a Abs. 1S.3 DSG NRW, $ 11 Abs. 1 
S. 3 SächsDSG). Nach $ 4f Abs. 2 S. 3 
Bundesdatenschutzgesetz (BDSG) kann 
„zum Beauftragten für den Datenschutz 
(kann) auch eine Person außerhalb der 
verantwortlichen Stelle bestellt werden“. 


5 http://www.ego-mv.de/index.php?id=36 


6 Vergleichbare Modelle gibt es auch in 
anderen Bundesländern, z.B. schon lang- 
jährig beim Zweckverband Kommunale 
Datenverarbeitung Oldenburg (KDO) 
(https://www.kdo.de/datenschutzbeauf- 
tragter.php). 


7 Nicht in jedem Bundesland gibt es eine 
Pflicht zur Bestellung eines behördlichen 
Datenschutzbeauftragten. In Schleswig- 
Holstein und Sachsen beispielsweise 
ist die Bestellung fakultativ (vgl. $ 10 
Abs. 1 LDSG SH bzw. $ 11 Abs. 1 
SächsDSG). 


8 Weitgehend gleichlautende Anforde- 
rungen stellen auch das BDSG ($ 4f Abs. 
2) und die Landesdatenschutzgesetze 
(vgl. z.B. $ 7a Abs. 1 S. 2 BbgDSG, 
$32a Abs. 1, S. 2 und Abs. 2 S.3 DSG 
NRW). 


Ingo Ruhmann 


9 Im Gegensatz zum BDSG sieht das DSG 
M-V verpflichtend die Bestellung eines 
stellvertretenden Datenschutzbeauftrag- 
ten vor, $ 20 Absatz 1 DSG M-V. 


10 Eine entsprechende Verpflichtung 
kennen auch das BDSG ($ 5) und einige 
Landesdatenschutzgesetze (vgl. z.B. $ 6 
SächsDSG). 


11 Die Ausstellung kann gegen eine Be- 
arbeitungsgebühr beim ZV eGO M-V 
ausgeliehen werden: http://www.ego-mv. 
de/index.php?id=132 


12 Verfahrensverzeichnisse und -beschrei- 
bungen sehen auch das BDSG ($ Ad, $ 
4e) und die Landesdatenschutzgesetze 
(vgl. z.B. $ 8 BbgDSG, $ 7 LDSG SH 
1.V.m. der Datenschutzverordnung SH) 
vor. 


13 vgl. Fußnote 1 


14 https://www.bsi.bund.de/SharedDocs/ 
Downloads/DE/BSI/Publikationen/ 
ITGrundschutzstandards/standard_1002_ 
pdf.pdf? _blob=publicationFile 


15 https://www.bsi.bund.de/DE/Themen/ 
weitereThemen/GSTOOL/gstool_node. 
html 


16 Eingeführt mit Artikel 2 „Viertes Gesetz 
zur Deregulierung und zum Bürokratie- 
abbau vom 28.10.2010“ (vgl. GVOBI. 


Wann wird IT-Sicherheit 
kein Rechtsbruch mehr sein? 


Das Bundesverfassungsgericht hat 
nach dem Grundrecht auf informa- 
tionelle Selbstbestimmung das 
„Grundrecht auf Gewährleistung 
der Vertraulichkeit und Integrität 
informationstechnischer Systeme“ 
definiert. Die IT-Sicherheit ist das 
Arbeitsfeld, in dem der Schutz dieser 
beiden fundamentalen Grundrechte 
der Informationsgesellschaft umge- 
setzt werden muss. Die Praxis steht zu 
den Anforderungen des Rechts jedoch 
in einem deutlichen Kontrast. Die IT- 
Sicherheit von Webangeboten beruht 
in der Regel auf der Auswertung von 
Daten über Nutzerzugriffe. Für eine 
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Speicherung und Auswertung solcher 
Daten fehlt jede Rechtsgrundlage. 
Das vom Bundesinnenministerium 
vorgelegte „Gesetz zur Erhöhung 
der Sicherheit informationstechni- 
scher Systeme“ könnte hier den IT- 
Sicherheitsverantwortlichen recht- 
liche und praktische Hilfen geben. 
Besserung ist jedoch nicht in Sicht. 


Vielleicht erinnert sich noch jemand 
daran, aus welchen Gründen die da- 
malige Bundesjustizministerin Brigitte 
Zypries 2007 vom Landgericht Berlin 
unter Androhung eines Zwangsgeldes 
in Höhe von 250.000 Euro rechtskräftig 


M-V 2010 S. 615 ff.): „Gemeinsame 
Verfahren sind automatisierte Verfahren, 
die aus mindestens zwei eigenständigen 
automatisierten Teilverfahren bestehen, 
für die verschiedene Daten verarbeitende 
Stellen verantwortlich sind.“ Seit Januar 
2012 gibt es (ähnliche) Gemeinsame 
Verfahren auch in Schleswig-Holstein ($ 
8 LDSG SH). 


17 Solch ein „Prüfverfahren auf Bun- 
desebene“ wird momentan auf Ebene 
der Innenministerien der Länder (auf 
Anregung Baden — Württembergs) bzgl. 
des Personenstandregisterverfahrens 
diskutiert; allerdings nur in Bezug auf 
die eingesetzten Programme an sich (mit 
Bezug auf die in $ 12 der Verordnung zur 
Ausführung des Personenstandgesetzes 
vorgesehene Herstellererklärung). 


18 Regelungen zur Auftragsdatenverarbei- 
tung finden sich auch im BDSG ($ 11) 
und in den Landesdatenschutzgesetzen 
(vgl. z.B. $ 7 SächsDSG, $ 11 DSG 
NRW). 


19 vgl. $ 13 Abs. 1 Telemediengesetz 


20 vgl. $ 22 (Einwilligungserfordernis) und 
$ 23 (Ausnahmen) Gesetz betreffend das 
Urheberrecht an Werken der bildenden 
Künste und der Photographie 


dazu verurteilt wurde, im Webauftritt des 
Justizministeriums jede Protokollierung 
von IP-Nummern über das Ende des je- 
weiligen Nutzungsvorgangs hinaus ab- 
zustellen. 

Das Urteil war Endpunkt eines 
Rechtsstreits? gegen die Protokollie- 
rung von Nutzerdaten durch Betreiber 
von Webseiten — rechtlich: Telemedien- 
anbieter. Die Klage richtete sich kon- 
kret gegen die Ungesetzlichkeit der 
Nutzerdatenprotokollierung, wie sie 
durch Bundesministerien, vor allem 
aber das Bundeskriminalamt (BKA), 
praktiziert wurde. Das BKA hatte im 
Zuge von Ermittlungen gegen eine 
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„militante Gruppe“ sein Webangebot 
als klassischen Honeypot genutzt. Die 
Nutzerzugriffe auf die Webseiten mit 
Informationen über die entsprechenden 
Fahndungsmaßnahmen wurden gezielt 
protokolliert, um die Nutzer zu ermit- 
teln.? 

Urteil und Zwangsgeld gegen eine 
Ministerin führten bei Bundesregierung 
und Parlament schnell zu weiteren 
Aktivitäten. So erklärte die Bundes- 
regierung 2007 auf Anfrage der Fraktion 
der Linken zur Notwendigkeit der 
Protokollierung von IP-Nutzerdaten für 
Zwecke der IT-Sicherheit: 

„Die Speicherung ist insbeson- 
dere aus Sicherheitsgründen not- 
wendig: Die Bundesverwaltung ist 
kontinuierlich massiven und hoch pro- 
fessionellen Angriffen aus dem Internet 
ausgesetzt und der durch die Angriffe 
verursachte Kommunikationsverkehr 
übertrifft seit langem den regulären 
Kommunikationsverkehr. Zur Abwehr 
dieser Angriffeundzur Aufrechterhaltung 
des Behördenbetriebs sind  zahlrei- 
che Sicherheitsmaßnahmen notwendig. 
Dazu gehört zwingend die Speicherung 
der IP-Adressen, um Angriffsmuster er- 
kennen und Gegenmaßnahmen (z. B. das 
Sperren bestimmter, für den Angriff ge- 
nutzter IP-Adressen) einleiten zu können. 
Ohne diese Daten ist eine Abwendung 
der kontinuierlichen Angriffe nicht mög- 
lich. “* 

Trotzder,„zwingendenNotwendigkeit“ 
zur Speicherung von IP-Daten für 
IT-Sicherheitszwecke bewertete die 
Bundesregierung die Rechtmäßigkeit 
der Speicherung von IP-Nummern je- 
doch deutlich vorsichtiger: 

„Inwieweit IP-Adressen _perso- 
nenbezogene Daten darstellen, ist 
nicht abschließend geklärt. Mit dem 
in der Kleinen Anfrage in Bezug ge- 
nommenen Urteil des AG Berlin 
liegt nach hiesiger Kenntnis erstmals 
eine Gerichtsentscheidung vor, nach 
der IP-Adressen nicht nur für den 
Zugangsanbieter, der diese Adressen ver- 
gibt, sondern auch für den Anbieter eines 
(Medien-) Dienstes personenbezogene 
Daten sind, obwohl der Diensteanbieter 
einen Personenbezug allenfalls mit 
Hilfe des Zugangsanbieters herstellen 
könnte.“ ° 

Der entscheidende Punkt war und ist 
genau die Frage, wie Telemedienanbieter 
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mit IP-Nummern umgehen und in wel- 
chem Umfang sie IP-Nummern na- 
türlich auch zur Erkennung von 
Manipulationsversuchen speichern und 
auswerten dürfen. 

Die damals ungeklärte Frage, ob IP- 
Nummern personenbezogene Daten sei- 
en und vom Grundrecht auf informa- 
tionelle Selbstbestimmung geschützt 
sind, ist mittlerweile höchstrichterlich 
geklärt: Das Bundesverfassungsgericht 
(BVerfG) urteilte im Januar 2012 über 
Sammlung und Abruf von IP-Adressen.‘ 

„Insbesondere fallen unter den Schutz 
der informationellen Selbstbestimmung 
auch personenbezogene Informationen 
zu den Modalitäten der Bereitstellung 
von Telekommunikationsdiensten. “” 

Zu diesen gehörten auch dem 
Gericht zufolge Kennungen wie etwa 
IP-Nummern. Zwar unterließ das 
Verfassungsgerichtt die eindeutige 
Gleichsetzung jedweder IP-Nummer 
mit personenbezogenen Daten, begrün- 
dete dies aber mit der Differenzierung, 
dass derzeit statische IP-Adressen vor- 
nehmlich für Geschäftskunden bedeut- 
sam seien. Anders werde dies erst durch 
die absehbare Entwicklung hin zu dauer- 
haft statisch vergebenen IP-Adressen im 
IPv6.° Über die für Privatkunden typi- 
sche Vergabe dynamischer IP-Adressen 
urteilte das Gericht jedoch: 

„Die Identifizierung von dynami- 
schen IP-Adressen ermöglicht in wei- 
tem Umfang eine Deanonymisierung 
von Kommunikationsvorgängen im 
Internet. Zwar hat sie eine gewisse 
Ähnlichkeit mit der Identifizierung ei- 
ner Telefonnummer. Schon vom Umfang, 
vor allem aber vom Inhalt der Kontakte 
her, über die sie Auskunft geben kann, 
hat sie jedoch eine erheblich größere 
Persönlichkeitsrelevanz und kann mit 
ihr nicht gleichgesetzt werden“? 

Die höchstrichterliche Diskussion 
der Funktion von IP-Nummern im 
Datenverkehr lässt daher keinen Zweifel 
mehr daran, dass IP-Nummern perso- 
nenbezogene Daten sind. Die rechtli- 
che Konsequenz daraus ist aber, dass 
solche personenbezogenen Daten 
nur auf gesetzlicher Grundlage oder 
nach Einwilligung der Nutzer ge- 
speichert werden dürfen. Und zwar 
durch Telemedienanbieter ebenso wie 
durch jeden Telekommunikations- 
provider — egal ob zu Werbezwecken 


oder für die IT-Sicherheit. Oder an- 
ders: Die Protokollierung von voll- 
ständigen IP-Nummern zu Zwecken 
der IT-Sicherheit ist ein Verstoß ge- 
gen Persönlichkeitsrechte, der nur 
auf Grundlage einer gesetzlichen 
Ermächtigung oder Einwilligung zuläs- 


sig ist. 
Eine Rechtsgrundlage für die Proto- 
kollierung von personenbezogenen 


Daten zu Sicherheitszwecken gibt es 
für Telekommunikationsprovider. Das 
Telekommunikationsgesetz (TKG) er- 
laubt es in $100 den Betreibern „zum 
Erkennen, Eingrenzen oder Beseitigen 
von Störungen oder Fehlern an Telekom- 
munikationsanlagen die Bestandsdaten 
und Verkehrsdaten der Teilnehmer und 
Nutzer [zu] erheben und [zu] verwen- 
den“. 

Darauf können sich IT-Sicherheits- 
verantwortliche bei der Protokollierung 
von IP-Nummern aber nicht berufen. 
Für die klassischen Webangebote wie 
Webseiten zur Information, aber genau- 
so auch Webshops, Cloud-Speicher oder 
komplexe webbasierte Softwaredienste 
gilt das Telemediengesetz (TMG). Ein 
Ziel des TMG war die anonyme oder 
pseudonyme Nutzung des Internets. 
Daher dürfen Anbieter keine oder nur 
möglichst wenige Daten erheben, zu- 
mal im Internet zwischen Anbietern 
und Nutzern von Telemedien vielfach 
kein Vertragsverhältnis besteht, das die 
Rechtslage zwischen beiden Seiten in- 
dividuell regeln könnte. Daher verbie- 
tet das TMG in $12 ausdrücklich die 
beliebige Speicherung personenbezo- 
gener Daten in Webangeboten. Zulässig 
ist allein die zur Kommunikation nöti- 
ge Speicherung und Verarbeitung der 
Daten, die am Ende der Nutzung umge- 
hend zu löschen sind: 


TMG 813 (4) Nr. 2 

Der Diensteanbieter hat [..] sicher- 
zustellen, dass [..] die anfallenden per- 
sonenbezogenen Daten über den Ablauf 
des Zugriffs oder der sonstigen Nutzung 
unmittelbar nach deren Beendigung ge- 
löscht [..] werden. 

Und um die Frage von Nutzungsdaten 
— wie etwa die IP-Nummern der zugrei- 
fenden Benutzer — zweifelsfrei zu defi- 
nieren, erlaubt $15 TMG ein „erheben 
und Verwenden“ personenbezogener 
Nutzerdaten - als da sind: 
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„]. Merkmale zur Identifikation des 

Nutzers, 

2. Angaben über Beginn und Ende 

sowie des Umfangs der jeweiligen 

Nutzung und 

3. Angaben über die vom Nutzer in 

Anspruch genommenen Telemedien“ 

nurfürAbrechnungszwecke, wenneine 
Vertragsbeziehung besteht, nicht aber bei 
anonym nutzbaren Angeboten. Allein 
„bei Verwendung von Pseudonymen“ 
ist es zulässig, Nutzungsprofile für 
„Werbung, Marktforschung oder zur 
bedarfsgerechten Gestaltung“ der 
Telemedien zu erstellen. 


Dieser Rechtsrahmen 

erlaubt, IP--Nummern von Nutzern ei- 
nes Webangebotes zu verarbeiten, so- 
lange die aktuelle Nutzung andauert, 
erfordert die Löschung der Daten und 
IP-Nummern unmittelbar nach Ende 


dieser Nutzung 
oder lässt die Bildung und Sammlung 
pseudonymisierter Nutzungsprofile 


zu, wie sie etwa durch wirksame 

Verkürzung oder Veränderung der IP- 

Nummer möglich sind. 

Unzulässig istjedoch, vollständige IP- 
Nummern zu Zwecken der IT-Sicherheit 
dauerhaft zu speichern. Und um die 
Ernsthaftigkeit dieser Vorschrift beson- 
ders herauszuheben, sieht das TMG für 
Zuwiderhandlungen einen der sehr we- 
nigen Bußgeldtatbestände vor. 

Damit haben IT-Sicherheitsverant- 
wortliche im alltäglichen Fall eines 
Angriffs auf ein Webangebot keine le- 
gal gesammelten Daten in der Hand, 
die für eine juristische Lösung nutzbar 
wären. Selbst bei der Speicherung von 
pseudonymisierten Daten muss man 
als Praktiker wohl besser ausblenden, 
dass IT-Sicherheit als gesetzlich legiti- 
mierter Zweck einer Datenspeicherung 
im Telemedienrecht schlicht nicht vor- 
gesehen ist. Für die Klärung der über- 
wiegenden Zahl Internet-basierter IT- 
Sicherheitsvorfälle aufjuristischem Weg 
gibt es damit in Deutschland keine recht- 
liche Grundlage. 

Deshalb war spätestens nach dem 
Urteil des Bundesverfassungsgerichts 
2012 die Frage zwangsläufig, wie IT- 
Sicherheitsverantwortliche eine rechts- 
konforme Detektion von IT-Sicherheits- 
vorfällen ohne eine Rechtsgrundlage für 
die Speicherung von IP-Nummern bei 
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Verdachtsfällen oder einem Angriff rea- 
lisieren sollten. 


Vertane Chancen zu einer 
Lösung 


Nun wäre es mit Sicherheit eine ab- 
surde Vermutung, dass Betreiber von 
Botnetzen oder andere Verbreiter von 
Malware erst vor Gericht ziehen, dort 
bei ihrem ausgesuchten Opfer die 
Abschaltung einer IP-Protokollierung 
erwirken, um dann unbeobachtet ihr 
Schadwerk zu vollbringen. 

Anders herum wird das Problem 
akut: Wie kann ein IT-Sicherheits- 
verantwortlicher vor Gericht Proto- 
kolldatenalsBeweisfüreineManipulation 
verwenden, wenn diese Daten von einem 
fähigen Strafverteidiger als unrechtmä- 
Big gesammelte Beweismittel unbrauch- 
bar gemacht werden? 

Warum sollte sich ein durch IT- 
Sicherheitsvorfälle Geschädigter dann 
überhaupt einer juristischen Klärung 
seines Problems aussetzen? Der 
Ausgang eines Rechtsstreits wird zum 
ungewissen Risiko, zumal Richter bei 
Technikthemen die Gesetze ebenso wie 
höchstrichterliche Urteile keineswegs 
vorhersagbar interpretieren. Ein ge- 
schädigter Kläger, der vor Gericht zieht, 
könnte daher als Beklagter enden. 

Eine erste Möglichkeit zu einer Lösung 
des Problems bot sich mit der 2009 
in Kraft getretenen Novelle des BSI- 
Gesetzes, mit dem die Bundesregierung 
aufihre Weise auf das Berliner Urteil ge- 
gen Justizressort und Ministerin Zypries 
reagierte. Statt einer Lösung für die 
Allgemeinheit wurde eine juristische 
Speziallösung gewählt. 

So wurde in $ 5 des BSI-Gesetzes ein- 
zig und allein das Bundesamt für die 
Sicherheit in der Informationstechnik 
(BSI) dazu ermächtigt — so der Wortlaut 
des Gesetzes — „Protokolldaten, die beim 
Betrieb von Kommunikationstechnik 
des Bundes anfallen, [zu] erheben und 
automatisiert aus[zu]lwerten, soweit 
dies zum Erkennen, Eingrenzen oder 
Beseitigen von Störungen oder Fehlern 
bei der Kommunikationstechnik des 
Bundes oder von Angriffen auf die 
Informationstechnik des Bundes erfor- 
derlich ist“. 

Damit ist ausschließlich das BSI für 
die Webangebote der Bundesverwaltung 


in der komfortablen Lage, alle nöti- 
gen Daten rechtsfest erheben und aus- 
werten zu können. Weder das BKA 
noch der Bundesnachrichtendienst 
oder irgendeine andere Bundes- oder 
Landesbehörde oder ein Unternehmen 
sind rechtlich dazu berechtigt, die üb- 
lichen IP-Protokolldateien für IT- 
Sicherheitszwecke zu sammeln und aus- 
zuwerten. Dies gilt ebenso für CERTS, 
IT-Sicherheitsunternehmen und ande- 
re IT-Sicherheitsprofis, deren tägliche 
Arbeit die Analyse von Datenverkehren 
bei Telemedien ist: Sie alle operieren bei 
der Auswertung von IP-Daten eindeutig 
im rechtswidrigen Raum. 

Unternehmen können weiterhin das 
rechtliche Risiko eingehen, denn die 
Wahrscheinlichkeit einer Klage dürf- 
te für sie gering sein. In Behörden sicht 
das dagegen anders aus. Eingedenk des 
Urteils gegen das Bundesjustizressort 
und Frau Zypries ist die Rechtslage ein- 
deutig. Eine gleichartige Klage gegen 
andere Behörden wäre sehr erfolgver- 
sprechend und obendrein kostenfrei. 
Auch eine Datenschutzbehörde könnte 
die rechtskonforme Datenspeicherung 
zu IT-Sicherheitszwecken einfordern 
und eine Rüge aussprechen. Behördliche 
IT-Sicherheitsverantwortliche, die heute 
gleichwohl die nicht-pseudonymisierte 
IP-Protokollierung weiter laufen lassen 
und damit vorsätzlichen Rechtsbruch 
begehen, müssen daher im Klagefall mit 
personalrechtlichen Konsequenzen und 
der Abwälzung der entstehenden Kosten 
durch ihren Dienstherren rechnen. Eine 
ungemütliche Lage, in der niemand gern 
stecken mag. 


Das geplante IT- 
Sicherheitsgesetz 


Diese Ausgangslage böte daher ge- 
nug Anlass, der IT-Sicherheit für 
Webangebote in Deutschland end- 
lich eine legale Grundlage zu geben. 
Passend dafür wäre, dies im Zuge des im 
Frühjahr 2013 zur Diskussion gestellten 
„Gesetzes zur Erhöhung der Sicherheit 
informationstechnischer Systeme“! um- 
zusetzen. 

Zweck des geplanten Gesetzes ist 
es, die Betreiber kritischer IT-Infra- 
strukturen „in den Sektoren Energie, 
Informationstechnik und Telekommuni- 
kation, Transport und Verkehr, Gesund- 
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heit, Wasser, Ernährung sowie Finanz- 
und Versicherungswesen“ — dem Anfang 
März verschickten Gesetzesentwurf zu- 
folge-dazu zu verpflichten, „Maßnahmen 
zum Schutz derjenigen informations- 
technischen Systeme, Komponenten 
oder Prozesse zu treffen, die für die 
Funktionsfähigkeit der von ihnen betrie- 
benen kritischen Infrastrukturen maßgeb- 
lich sind‘ und dem „Stand der Technik“ 
entsprechen. Sicherheitsaudits sollen 
die Wirkung der Maßnahmen validie- 
ren. Telekommunikationsunternehmen 
werden in ähnlicher Weise zu höheren 
Sicherheitsstandards verpflichtet. 

Damit wird der als Schutzniveau 
für IT-Technologie in $ 9 des Bundes- 
datenschutzgesetzes seit Jahren vorge- 
schriebene „Stand der Technik“, der bis- 
her für alle Betreiber verpflichtend war, 
die personenbezogene Daten „erheben, 
verarbeiten oder nutzen“, nahezu wort- 
gleich auf den Betrieb von Anlagen und 
Systemen ausgeweitet. 

IT-Sicherheitsvorfälle sollen dem 
Bundesamt für Sicherheit in der 
Informationstechnik (BSI) umgehend ge- 
meldet werden, das daraus ein Lagebild 
zusammenstellt. Die Verfolgung von 
Computerkriminalität, die gegen „si- 
cherheitsempfindliche Behörden oder 
Einrichtungen des Bundes“ gerichtet ist, 
soll nach Artikel 2 des Gesetzentwurfs 
dem Bundeskriminalamt (BKA) über- 
tragen werden. 

Abgesehen von der gut 15-jähri- 
gen Historie des Schutzes kritischer 
Infrastrukturen, der nie über eine frei- 
willige Mitwirkung der Industrie hinaus- 
gekommen ist, trat die Bundesregierung 
mit der Idee an, durch gesetzliche 
Vorschriften den Schutz kritischer In- 
frastrukturen gegen Manipulationen 
an IT-Systemen zu verbessern. Doch 
verpflichtet der Gesetzesvorstoß zum 
IT-Sicherheitsgesetz die IT-Sicher- 
heitsverantwortlichen dazu, IT-Sicher- 
heitsvorfälle zu melden, die höchst wahr- 
scheinlich aufgrund einer Sammlung 
und Auswertung von Protokolldaten wi- 
derrechtlich erhoben, ausgewertet und 
ermittelt wurden. Nicht vorgesehen ist 
dagegen eine strafbefreiende Wirkung ei- 
ner solchen Selbstanzeige. Der Entwurf 
ist nach heftiger Kritik der Wirtschaft 
in der ablaufenden Legislaturperiode 
nicht in den Bundestag eingebracht wor- 
den. Das sollte Anlass sein, grundsätz- 
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lich über die rechtlichen Defizite der IT- 
Sicherheit nachzudenken. 


IT-Sicherheit: Die Gewohnheit 
des flächendeckenden 
Rechtsbruchs 


Der Blick in die Praxis legt die 
Erkenntnis nahe, dass die übergroße 
Mehrheit aller Telemedienanbieter in 
der Praxis nichts an der umfassenden 
Protokollierung von IP-Nummern geän- 
dert hat und die bestehende Rechtslage 
souverän ignoriert. 

Dies lässt sich auch empirisch belegen. 
Seit einigen Jahren untersucht die im 
Datenschutz-Auditing arbeitende Xamit 
Bewertungsgesellschaft jährlich in ei- 
nem „Datenschutzbarometer“ jeweils 
einige tausend repräsentativ ausgewähl- 
te Webauftritte auf deren Einhaltung 
der Vorschriften des Telemedienrechts 
bei der Nutzerdaten-Protokollierung, 
den Datenschutzklauseln und ande- 
ren Regeln.'' Xamit macht sich dabei 
den Umstand zunutze, dass zahlreiche 
Datenschutzverstöße und die programm- 
technisch nötigen Vorkehrungen zum 
Einsatz von Protokollierungssoftware im 
Quellcode der jeweiligen Webangebote 
für jeden ablesbar und einfach dokumen- 
tierbar sind. Komplexere Verstöße läßt 
die Analyse unberücksichtigt. 

Die Ergebnisse sind für den Daten- 
schutz deprimierend: Von 2008 bis 2011 
nahm die Zahl der offensichtlichen 
Datenschutzverstöße bei Unternehmen 
ebenso wie bei Behörden zu. Weniger als 
10% der Webauftritte blieben 2008 ohne 
juristische Beanstandungen’, in 2012 
war das Ergebnis annähernd gleich: 
pro 100 Webauftritten seien 91 Bean- 
standungen durch Datenschutzbehörden 
auszusprechen." 

Die Datenschutzdebatte um Google 
Analytics 2012 verbesserte die Lage 
bei den Rechtsverstößen zur Nutzer- 
daten-Protokollierung leicht, was aber 
den Anstieg der restlichen Datenschutz- 
verstöße nicht bremste. Die Autoren 
machten klar: 

„Wir sprechen hier nicht von den 
Verstößen, die einer unsicheren Rechts- 
lage oder der Praxisferne des Bundes- 
datenschutzgesetzes geschuldet sind, 
sondern von den bewusst oder fahrläs- 
sig begangenen Verstößen “.'* 

Es geht also um Rechtsbruch aus 


Gewohnheit. Die Wirklichkeit zeigt: So 
gut wie niemand schert sich um Recht 
und Gesetz in Sachen Datenschutz und 
IT-Sicherheit. So gut wie jeder protokol- 
liert IP-Daten, was die Werkzeuge tech- 
nisch gerade so hergeben. Und wenn es 
nutzt, werden auch Werkzeuge einge- 
setzt, die selbst für Laien offensichtlich 
rechtswidrig sind. 

Und es bleibt folgenlos. Die von 
Beratungsunternehmen wie Xamit er- 
hobenen und gesammelten Verstöße bei 
Unternehmen und Behörden werden von 
Datenschutzbehörden in den wenigsten 
Fällen geahndet. Mit dieser Untätigkeit 
gegenüber den ungebremsten und rechts- 
widrigen Datensammlungen untergra- 
ben sie allerdings selbst ihre Autorität. 
Auch wenn der Bundesbeauftragte für 
Datenschutz, Peter Schaar, nun zutref- 
fend vor einer Gefahr warnt, eine recht- 
liche Regelung von Datensammlungen 
zu Zwecken der IT-Sicherheit könn- 
te zu einer uferlosen Sammlung von 
Nutzerdaten führen’, sollte man abwä- 
gen, den realen und flächendeckenden, 
rechtswidrigen Wildwuchs weiter zu 
ignorieren und zu belassen, oder der IT- 
Sicherheit einen rechtskonformen, lega- 
len Weg zu bahnen. 


Rechtsfeste und praktikable 
Lösungsansätze 


Als Lösung des Problems läge es daher 
nahe, die IP-Nummernprotokollierung 
bei Telemedien zu Zwecken der IT- 
Sicherheit zu regeln — und zwar mög- 
lichst eng begrenzt. Die letzte Novelle 
des BSI-Gesetzes hat dazu eine diskutab- 
le Vorlage geliefert. Diese ließe sich für 
eine Ergänzung des Telemediengesetzes 
anpassen. Die Alternative, die Rege- 
lung zur Protokollierung bei Tele- 
kommunikationsnetzen in $100 TKG, 
geht dagegen deutlich zu weitund erlaubt 
— übertragen auf IT-Sicherheitsaspekte 
im Internet — eine unnötig umfangreiche 
Datensammlung. 

Ziel aus Sicht der IT-Sicherheit müs- 
ste es sein, eine Protokollierung von IP- 
Nummern und deren Nutzung klar zu 
regeln. Erlaubt ist heute die Auswertung 
der Verkehrsdaten im engen zeitlichen 
Bezug zu einer Webservice-Nutzung. 
Für die Praxis lässt sich daraus ein hand- 
habbarer und datenschutzrechtlich trag- 
barer Ablauf aus drei Schritten entwik- 
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keln, der in vielen Teilen bereits Praxis 

ist: 

1.Ein Intrusion Detection System kann 
aus den laufenden Verkehrsdaten eine 

Eingrenzung auf Verdachtsfälle lei- 

sten und den Rest der Daten verwerfen 

oder — ebenfalls legal — pseudonymi- 
sieren, etwa durch ein Verkürzen der 

IP-Nummern. Im Verdachtsfall ist un- 

mittelbar ein auditierbares Verfahren 

zur Gefahrenanalyse und -abwehr an- 
zuwenden. 

2.Die systematische Analyse gespei- 
cherter pseudonymisierter Protokoll- 
daten, die ihrerseits nach einer über- 
schaubaren Frist gelöscht werden, 
reicht auch über die Vorlaufzeit von 
größeren Angriffen aus, um eine 

Entscheidung über das Vorgehen bei 

vermuteten Angriffen zu treffen. 
3.Als Ergebnis der Analyse sind nach 

überschaubarer Zeit entweder alle 
harmlosen pseudonymisierten Daten 
zu löschen oder es ist gezielt konkre- 
ten Verdachtsfällen nachzugehen, für 
die die Verkehrsdaten vollständig zu 
erfassen und in dem etablierten geord- 
neten, auditierbaren Verfahren zu ver- 
arbeiten sind. 

Das Bundesverfassungsgericht hat 
nach dem Grundrecht auf informationel- 
le Selbstbestimmung das „Grundrecht 
auf Gewährleistung der Vertraulichkeit 
und Integrität informationstechnischer 
Systeme“ definiert. Die IT-Sicherheit ist 
das Arbeitsfeld, in dem der Schutz die- 
ser beiden fundamentalen Grundrechte 
der Informationsgesellschaft praktisch 
umgesetzt werden muss. Der skizzierte 
Ablauf wäre eine einfache und profes- 
sionell gut beherrschbare Lösung für die 
IT-Sicherheit, die den Anforderungen an 
Datenschutz und Sicherheit gerecht wird 
und für die nur wenig gesetzgeberische 
Arbeit für die Erlaubnis zur Speicherung 
der vollständigen IP-Nummern bei 
Verdacht und rechtliche Anforderungen 
an das Verfahren benötigt würde. 


Vergebliche Suche im IT- 
Sicherheitsgesetz 


Der diskutierte Gesetzesentwurf des 
IT-Sicherheitsgesetzes sieht als Än- 
derung am Telemediengesetz aber 
nur in Artikel 3 vor, den Dienstean- 
bietern „Maßnahmen zum Schutz von 
Telekommunikations- und Datenverar- 
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beitungssystemen gegen unerlaubten 
Zugriff“ nach dem Stand der Technik 
vorzuschreiben. Alles andere bleibt ge- 
nauso ungeregelt wie bisher. Legal blie- 
be damit für die Zukunft beispielswei- 
se das Betreiben von Intrusion Detection 
Systemen über Daten aus dem laufenden 
Betrieb und das Melden von Denial-of- 
Service-Attacken, solange ein Angriff 
andauert. Nicht legal aber bliebe das 
Detektieren eines Einschleusens von 
Trojanern und Botnetzen, oder jede an- 
dere, aus mehreren Schritten und ver- 
schiedenen „Nutzungsvorgängen“ be- 
stehende Form eines Angriffs, für dessen 
Verfolgung detaillierte Daten verschie- 
dener Nutzungsvorgänge zusammenge- 
führt werden müssen. Nicht legal wird es 
selbstverständlich auch in Zukunft nicht 
sein, die IP-Kennung des Angreifers zu 
speichern. 

Wer einige der Betreiber kriti- 
scher Infrastrukturen und ihre Heran- 
gehensweise an IT-Sicherheitsthemen 
kennt, weiß, dass dort zu diesem Thema, 
das nicht das Kernkompetenzfeld der 
Betreiber darstellt, vielfach ein de- 
fensives, rechtlich eher unzweifelhaf- 
tes Agieren einem Vorgehen vorge- 
zogen wird, das letztlich auf einem 
systematischen Bruch des IT- und 
Datenschutzrechts aufbauen muss. 

Man könnte dies aber auch anders 
formulieren: Die bekannt lückenhafte 
Rechtslage zur IT-Sicherheit ist selbst- 
verständlich auch eine praktische juri- 
stische Argumentationsgrundlage, um 
jede Berichterstattung über IT-Sicher- 
heitsvorfälle zu unterlassen, für deren 
Detektiones keine klare Rechtsgrundlage 
gibt. Da legal nur über eine begrenz- 
te Anzahl möglicher Internet-basierter 
Angriffsformen überhaupt Daten ge- 
sammelt werden dürfen, ließe sich der 
Berichtsaufwand in überschaubaren 
Grenzen halten; Bußgelder oder andere 
Zwangsmaßnahmen stehen auch nicht 
zu befürchten. Dementsprechend un- 
vollständig dürften die Lageberichte ge- 
raten, die das BSI aus den Meldungen 
der Betreiber kritischer Infrastrukturen 
zusammenstellen soll. 


Geld für Strafverfolgung statt für 
Datensammlungen 


Was also sollte ein IT-Sicherheits- 
gesetz in der vorgelegten Form brin- 


gen? Die Kernforderung des Gesetzes 
— die Datensammlung von IT-Sicher- 
heitsvorfällen-istinder Fachcommunity 
heftig umstritten. So ist bekannt, dass 
2010 ein einziges Botnet für ein Drittel 
des gesamten Spam-Aufkommens im 
Internet verantwortlich war. Was, so 
fragen die Fachleute, werde da eine 
Datensammlung an Neuem beitragen? 
Zwei Studien aus sehr unterschiedli- 
chen Richtungen kommen zum gleichen 
Ergebnis. 

Die Microsoft-Forscher Dinei 
Florencio und Cormac Herley publizier- 
ten 2011 eine qualitative Analyse der 
über Cybercrime publizierten Studien, 
Daten und Schadenshöhen. Ihr „har- 
sches“ Ergebnis war, dass alle un- 
tersuchten Studien jeder belastbaren 
Datengrundlage entbehrten und über- 
dies methodisch so grundlegend fehler- 
haft seien, dass den Ergebnissen keiner- 
lei Glaube geschenkt werden könne: 

„Our assessment of the quality of cy- 
ber-crime surveys is harsh: they are so 
compromised and biased that no faith 
whatever can be placed in their fin- 
dings. “'° 

Zum selben Resultat kam eine Studie 
britischer, deutscher, niederländischer 
und amerikanischer Wissenschaftler 
auf Initiative des britischen Verteidi- 
gungsministeriums. Auch ihre Schluss- 
folgerungen und Forderungen sind ein- 
deutig: 

„Ihe straightforward conclusion to 
draw on the basis of the comparative fi- 
gures collected in this study is that we 
should perhaps spend less in anticipa- 
tion of computer crime (on antivirus, 
firewalls etc.) but we should certainly 
spend an awful lot more on catching and 
punishing the perpetrators.“' 

Wenn keine der verfügbaren Daten- 
sammlungen über IT-Sicherheitsvorfälle 
irgendeinen objektiven Wert oder Nutzen 
hat, liegt die Frage nahe, ob und wenn ja, 
welche Abhilfe von der Sammlung von 
Sicherheitsvorfällen auf Basis eines IT- 
Sicherheitsgesetzes zu erwarten ist. Dass 
die betroffenen Unternehmen gute juri- 
stische Argumente haben, ihre Berichte 
schlank zu halten, ist offensichtlich. 

Ausdrücklich kann und soll dies nicht 
bedeuten, dass Unternehmen, die IT- 
Sicherheitsvorfälle aus Gründen nega- 
tiver Medienreaktionen verschweigen 
wollen, dies ungerührt weiter tun soll- 
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ten, weil ihnen die Veröffentlichung 
von Sicherheitslücken peinlich ist. 
Öffentlichkeit und die Benachrichtigung 
der Kunden solcher Unternehmen bei 
Sicherheitsvorfällen sind ein wichti- 
ger Schritt, um Kunden — etwa im Fall 
des Diebstahls von Kreditkartendaten — 
eine schnelle Sperrung zu ermöglichen. 
Darum geht es im IT-Sicherheitsgesetz 
aber nicht. 

Als der eigentliche Zweck des IT- 
Sicherheitsgesetzes erscheint vor allem, 
das Datenmaterial für einen alljährli- 
chen Bericht zur Lage der IT-Sicherheit 
in ausgesuchten Bereichen zu sammeln 
und diesen Bericht pressewirksam vor- 
zustellen. Die weltweit tätigen großen 
IT-Sicherheitsfirmen tun dies heute auch 
— und zwar durchaus mehrfach im Jahr. 
Diese Berichte sind unterhaltsam für die 
Medienberichterstattung, aber — wie ge- 
zeigt — leider fachlich ohne Substanz. 

Was aber ist der Nutzen von Lage- 
berichten zur IT-Sicherheit, die lük- 
kenhaft, unsystematisch und in ihren 
Schlussfolgerungen verzerrt sind? Wie 
sehen die Maßnahmen und Aktionen 
aus, die aus solchen untauglichen Lage- 
berichten abgeleitet und ergriffen wer- 
den? Wofür sollen schließlich pri- 
vate und öffentliche Gelder für eine 
Verbesserung von IT-Sicherheit einge- 
setzt werden, wenn diese auf untaugli- 
chen Lageanalysen beruhen? 

Sollte der Zweck eines Gesetzes 
im Kern aber nur aus einem weiteren 
Bericht für die Medienberichterstattung 
bestehen, dessen Inhalt kein Experte ver- 
trauen kann? Wäre es nicht eher nötig, 
der Verfolgung von Straftaten im IT- 
Bereich endlich eine rechtlich eindeuti- 
ge Grundlage zu geben? 

Die vielfach formulierte Forderung, 
das Geld nicht in Berichte, sondern 
in die Kompetenzentwicklung der 
Strafverfolger zu stecken, war immer die 
bessere, aber auch aufwändigere Idee. 
Die Bundesregierung legt sich selbst 
im neuen IT-Sicherheitsgesetz die 
Messlatte ein wenig höher: Dem Bundes- 
kriminalamt sollen Zuständigkeiten 
für Computerkriminalität gegen Bun- 
desbehörden übertragen werden. Be- 
gründung: 

„die Zuständigkeit für die polizei- 
lichen Aufgaben der Strafverfolgung 
[liegt] in der Regel bei den Ländern, 
wobei die örtliche Zuständigkeit oftmals 
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dem Zufall überlassen bleibt, abhängig 
davon, wo der Vorfall zuerst entdeckt 
wird. “'® 

Und dort findet die zufällig veranlasste 
Ermittlungstätigkeit dann oft ihr schnel- 
les Ende. Nun wäre die Bundesregierung 
zuständig für die nötige finanzielle und 
personelle Ausstattung — und damit die 
deutlich bessere Fachkunde — für poli- 
zeiliche Ermittlungsarbeit in Sachen IT. 
Der reale Wille zu Besserung ließe sich 
in Zukunft hier erkennen. 

Die rechtlichen Befugnisse für die 
technische Ermittlung relevanter Daten 
für diverse Internet-basierte Straf- 
taten aber hat das BKA auch in Zu- 
kunft nicht. Vielleicht ist es ja mit der 
Strafverfolgung gar nicht so ernst ge- 
meint. Die „Cyberkriminellen‘“ dürf- 
te das freuen. Der „Kampf gegen die 
Cyberkriminalität“ wird so jedenfalls 
nicht zu gewinnen sein. 

Die Bürgerinnen und Bürger je- 
doch müssen auf den besseren Schutz 
wesentlicher Grundrechte in der 
Informationsgesellschaft wohl noch län- 
ger warten. 
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Live-Streaming von Gemeindevertretungssitzungen: 
Informationsrechte im Spannungsfeld datenschutz- 
rechtlicher Anforderungen 


Das Internet entfaltet zunehmend 
auch seine Potentiale für mehr demo- 
kratische Selbst- und Mitbestimmung: 
dies gilt bis hin zur kleinsten Ge- 
meinde. Unter den scheinbar gegen- 
sätzlichen gesetzlichen Zielbestim- 
mungen Informationsfreiheit und 
Datenschutz wurden nicht nur in 
Mecklenburg-Vorpommern Vorhaben 
der Übertragung von Gemeindever- 
tretersitzungen im Internet diskutiert 
und durch den Gesetzgeber mehr 
oder weniger überzeugend geregelt. 
Der Beitrag beleuchtet am Beispiel 
der Rechtslage in Mecklenburg-Vor- 
pommern die Anforderungen an 
eine verfassungsrechtlich zulässi- 
ge Satzungsregelung und die daten- 
schutzrechtlich erforderlichen tech- 
nisch-organisatorischen Maßnahmen. 


Das Recht der Bürger in Mecklenburg- 
Vorpommern auf freien Zugang 
zu allen bei der öffentlichen Hand 
vorhandenen Informationen soll die 
Voraussetzungen für eine demokratische 
Beteiligung der Öffentlichkeit an allen 
Entscheidungsprozessen stärken. Dafür 
braucht es den Zugang der Bürgerinnen 
und Bürger zu Informationen. Diesen 
Anspruch schafft und gestaltet das 
Gesetz zur Regelung des Zugangs zu 
Informationen für das Land Mecklen- 
burg-Vorpommern seit dem 11. Juli 
2011. Auch beim Datenschutz geht es 
um viel mehr, als um Daten: Ziel der 
Datenschutzvorschriften ist es, das Recht 
des Einzelnen zu schützen, aus eigener 
Selbstbestimmung sein Leben zu planen, 
Entscheidungen zu treffen oder Chancen 
wahrzunehmen. Das Gesetz zum Schutz 
des Bürgers bei der Verarbeitung seiner 
Daten (Landesdatenschutzgesetz - DSG 
MV) gewährleistet bereits seit 1992 die 
Umsetzung des Verfassungsanspruchs 
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auf informationelle Selbstbestimmung 
auch in und durch die Landes- und 
Kommunalverwaltung. 

Bei einem Konflikt beider Rechts- 
ansprüche ist ein Ausgleich erforderlich, 
für den die Gesetze Maßstäbe bereithal- 
ten. Gerade in der Arbeit der kommuna- 
len Vertretungen sind die Abgeordneten 
im Rahmen ihrer Verantwortung für das 
Gemeinwohl mit vielen unterschiedli- 
chen, oft sehr persönlichen Informationen 
konfrontiert. Zugleich findet ein Großteil 
der Arbeit der Kommunalvertretungen 
zu Recht in der Öffentlichkeit statt. Die 
öffentliche Kontrolle der Tätigkeit 
schließt aber den Schutz der berechtig- 
ten Interessen der Betroffenen nicht 
aus. Vielmehr ist die Summe der Ein- 
zelinteressen ein wichtiger Teil des 
Gemeinwohlinteresses. Das Informa- 
tionsfreiheitsrecht verlangt diesen In- 
teressenausgleich und gibt deshalb 
klare Regeln zum Vorrang datenschutz- 
rechtlicher Schutzansprüche vor, bei de- 
ren Berücksichtigung der respektvolle 
Umgang miteinander möglich sein sollte. 

Seit dem Jahr 2012 beschäfti- 
gen sich viele Gemeindevertretungen 
auf der Grundlage von parlamentari- 
schen Initiativen verschiedener Par- 
teien mit der Einführung der Live- 
Übertragung der öffentlichen Sitzungen 
der Gemeindevertretungen über das 
Internet als einer sehr kostengünsti- 
gen Möglichkeit der Stärkung direk- 
ter Bürgerbeteiligung durch eine un- 
mittelbare Informationsmöglichkeit für 
Jedermann. Das IFG M-V gewährt je- 
doch nur einen verwaltungsverfahrens- 
rechtlichen Zugang zu vorliegenden 
Informationen für den direkt Be- 
troffenen. Die Stärkung demokratische 
Beteiligungsrechte ist zwar intendiert, 
aber nicht reguliert. Damit scheidet das 
IFG M-V zwar als Rechtsgrundlage aus, 


gibt aber sehr wohl als landesgesetz- 
geberische Stellungnahme Hinweise 
auf bewährte und zwischenzeitlich um- 
fänglich wissenschaftlich evaluierte' 
Lösungsstrategien. Die kommunalen 
Bemühungen für mehr Transparenz stie- 
Ben und stoßen auf mehr oder weniger 
Widerstand — auch mit datenschutzrecht- 
lichen Bedenken begründet. 


Datenschutzrecht anwendbar? 


Das sog. Live-Streaming beschreibt 
eine Technologie zur Übertragung von 
Videobildern und Ton in Echtzeit über 
das Internet. Diese Angebote werden 
oft mit einem „On-Demand“-Streaming 
verknüpft, bei dem die Live-Daten ge- 
speichert und zu einem späteren Abruf 
bereitgehalten werden. Aber auch ohne 
eine solche Verknüpfung muss bei ei- 
ner Übertragung ins Internet immer von 
einer langfristigen Speicherung der so 
veröffentlichten Daten ausgegangen 
werden. Wird der Stream einmal zum 
Abruf bereitgehalten, muss man davon 
ausgehen, dass diese Bilder auch durch 
Nutzer gespeichert werden. Der Abruf 
durch anfragende Rechner und deren 
Verwendung der Daten entzieht sich mit 
der einmal erfolgten Abrufmöglichkeit 
jeder Kontrollmöglichkeit des Anbieters. 
Wederkann eine Aufzeichnungtechnisch 
verhindert, noch einmal Veröffentlichtes 
nachträglich wieder gelöscht werden. 

Beim Live-Streaming kann die- 
se Datenübertragung entweder direkt 
durch den Videoproduzenten (Peer-to- 
peer), oder durch eine Server-basierte 
Übertragung erfolgen. Letztere sind 
inzwischen weiter verbreitet. Hierfür 
gibt es eine Fülle inzwischen preis- 
günstiger Angebote, wobei vor allem 
die Anzahl gewünschter gleichzeitiger 
Zugriffsmöglichkeiten preisbildend ist. 
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Mit rund acht Millionen Zuschauern 
war der Stratosphären-Sprung des 
Extremsportlers Baumgartner der bis- 
her meistgesehene Videostream. Die 
technischen Voraussetzungen für ein 
Live-Stream sind also mit der erfor- 
derlichen Videotechnik sowie der 
Datenübertragung zu einem Server rela- 
tiv einfach überall und jederzeit herzu- 
stellen. 

Jede Erhebung, Verarbeitung oder 
Übermittlung personenbezogener Daten 
ist von Verfassung wegen nur dann zu- 
lässig, wenn ein Gesetz diese erlaubt und 
konkrete Anforderungen an den Schutz 
dieser Daten vor einem möglichen 
Missbrauch festlegt.” Personenbezogene 
Daten sind Einzelangaben über per- 
sönliche oder sachliche Verhältnisse 
einer bestimmten oder bestimmba- 
ren natürlichen Person — so die juristi- 
sche Definition. Diese Definition des 
Personenbezugs geht bewusst so weit, 
weil die wesentliche Besonderheit der 
elektronischen Datenverarbeitung darin 
besteht, dass elektronische Daten unbe- 
merkt kopiert, weitergegeben, ausgele- 
sen und mit anderen Informationen ver- 
knüpft werden können. Ein Schutz vor 
möglichem Missbrauch kann also nur 
gelingen, wenn die Daten von Anfang 
an gegen jegliche nur denkbare weite- 
re zweckwidrige Verwendung geschützt 
werden. 

Das bedeutet jedoch nicht, dass damit 
die Verwendung solcher Daten verboten 
sei. Vielmehr führt die Anwendbarkeit 
des Datenschutzrechtes zu einer ge- 
naueren Prüfung der Zulässigkeit und 
einer Festlegung von Bedingungen der 
Verarbeitung. 

Dabei wird nach deutschem Daten- 
schutzrecht generell zwischen der 
Datenverarbeitung durch öffentliche 
Stelle — dann sind die Landesdaten- 
schutzgesetze bzw. das Bundesdaten- 
schutzgesetz mit seinen Regelungen 
für öffentliche Stellen des Bundes an- 
zuwenden — und die durch nicht- 
öffentliche Stellen — dann ist das 
Bundesdatenschutzgesetz anzuwenden — 
unterschieden. Verantwortlich im Sinne 
des Datenschutzrechtes ist immer die- 
jenige Stelle, in deren Auftrag (zur Er- 
füllung deren Zwecke) die Datenverar- 
beitung erfolgt. 

Soll also das Live-Streaming durch die 
Gemeinde selbst oder in deren Auftrag 
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durch einen Privaten (Stadtfernsehen 
oder IT-Dienstleister) erfolgen, ist das 
Landesdatenschutzrecht anwendbar. Er- 
folgt hingegen das Live-Streaming durch 
einen Dritten im eigenen Interesse, be- 
stimmt sich die Zulässigkeit nach den 
Regeln für nicht-Öffentliche Stellen nach 
dem Bundesdatenschutzgesetz. 


Live-Streaming durch die 
Gemeinde 


Das Gesetz zum Schutz des Bürgers 
bei der Verarbeitung seiner Daten 
(Landesdatenschutzgesetz -— DSG MV) 
gilt gem. $ 2 „für Behörden und öf- 
fentlich-rechtliche Einrichtungen und 
Stellen des Landes, der Gemeinden, der 
Ämter, der Landkreise sowie für sonsti- 
ge der Aufsicht des Landes unterstehen- 
de juristische Personen des öffentlichen 
Rechts (öffentliche Stellen).‘“ Nur „so- 
weit besondere Rechtsvorschriften den 
Umgang mit personenbezogenen Daten 
regeln, gehen sie den Vorschriften die- 
ses Gesetzes vor“, $ 2 Abs. 4 DSG MV. 
Besondere Rechtsvorschriften in diesem 
Sinne können zum Beispiel Vorschriften 
der Kommunalverfassung MV sein, 
wenn und soweit diese den Umgang mit 
solchen Daten spezieller regeln. 

Aufgezeichnete Videobilder gehö- 
ren ebenso zu den personenbezogenen 
Daten, wie Tonaufnahmen. Die elektro- 
nische Aufzeichnung von Videobildern 
natürlicher Personen stellt eine automa- 
tisierte Verarbeitung personenbezogener 
Daten dar. Die Bilder, die im Kontext ei- 
ner bestimmten Veranstaltung stehen, so- 
wie die Sprachaufzeichnungen aus einer 
Gemeindevertretersitzung können be- 
stimmten Personen zugeordnet werden, 
sind also zumindest personenbezieh- 
bar. Da diese Bilder technisch bedingt — 
auch bei einer „live“-Übertragung — 
elektronisch gespeichert und verarbei- 
tet werden, ist das Datenschutzrecht zur 
Anwendung zu bringen. 

Das Erheben von personenbezogenen 
Daten bedeutet einerseits den konkreten 
Vorgang der Aufzeichnung der Video- 
oder Tondaten, aber auch die Abfrage 
der IP-Adressen von Nutzern des Live- 
Streaming-Angebotes durch den jewei- 
ligen Server, der die Daten dann an den 
anfragenden Rechner übermittelt. Auch 
die IP-Adressen (Internet-Protokoll- 
Adressen, die jeweils in der Regel ei- 


nem bestimmten Rechner zugeordnet 
werden können) sind personenbezoge- 
ne Daten, solange sich aufgrund einer 
permanenten oder nur vorübergehenden 
Speicherung der Verbindungsdaten der 
Bezug zu einem konkreten Rechner her- 
stellen lässt. 

Wenn Daten an jemanden außerhalb 
der eigenen Behörde oder des eige- 
nen Unternehmens weitergeleitet wer- 
den, findet eine Datenübermittlung 
statt. Damit ist also auch jede Art der 
Veröffentlichung eine Übermittlung, 
z.B. die weltweite Verbreitung münd- 
licher Beiträge in einer Sitzung der 
Gemeindevertretung. 

Damit einhergehen mithin alle beson- 
deren Gefahren für das Recht auf infor- 
mationelle Selbstbestimmung durch die 
Nutzung des Mediums Internet.” So ist 
eine nachträgliche Löschung selbst bei 
einer unzulässigen Datenübertragung 
technisch jedenfalls bisher unmöglich.* 


Live-Streaming durch Dritte: 
Medien 


Mit dem Gesetz über die Kom- 
munalverfassung und zur Änderung wei- 
terer kommunalrechtlicher Vorschriften 
vom 13. Juli 2011 (GVOBI. M-V. S. 
777) wurde die Kommunalverfassung 
in $ 29 Absatz 5 um eine Regelung zu 
Film- und Tonaufnahmen während der 
Sitzungen der Gemeindevertretungen 
und des Kreistages wie folgt ergänzt: 
„Die Sitzungen der Gemeindevertretung 
sind öffentlich. Die Öffentlichkeit ist 
auszuschließen, wenn überwiegende 
Belange des öffentlichen Wohls oder be- 
rechtigte Interessen Einzelner es erfor- 
dern. Der Ausschluss der Öffentlichkeit 
kann in diesem Rahmen in der 
Hauptsatzung oder durch Beschluss 
der Gemeindevertretung angeord- 
net werden. Über den Ausschluss der 
Öffentlichkeit wird in nichtöffentlicher 
Sitzung beraten und mit der Mehrheit 
aller Mitglieder der Gemeindevertretung 
entschieden. In öffentlichen Sitzungen 
der Gemeindevertretung sind Film- und 
Tonaufnahmen durch die Medien zu- 
lässig, soweit dem nicht ein Viertel al- 
ler Mitglieder der Gemeindevertretung 
in geheimer Abstimmung widerspricht.“ 

Die Kommunalverfassung _defi- 
niert Umfang und Ausgestaltung der 
Sitzungsöffentlichkeit als Ausdruck des 
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Grundrechtes auf Informationsfreiheit 
nach Art. 5 Abs. I Satz 1 GG, soweit 
nicht Gründe des öffentlichen Wohl 
oder berechtigte Interessen Einzelner 
entgegenstehen. Der Grundsatz der 
Sitzungsöffentlichkeit entspricht dem 
allgemeinen Öffentlichkeitprinzip der 
Demokratie. Dieser ist allerdings hier 
nur analog anwendbar, da es sich bei 
der Gemeindevertretung rechtlich nicht 
um eine Parlament handelt, sondern 
diese als Kollegialorgan der Selbst- 
verwaltung Teil der Exekutive ist‘, 
8 22 Abs. 1 KV MV. Der Zweck des 
Öffentlichkeitsprinzips, die staatlichen 
Entscheidungen einer direkten Kontrolle 
durch die Bürger zu unterziehen, wird 
bereits durch eine Vielzahl von gesetz- 
lichen Maßgaben gesichert. Hierzu ge- 


hört die Sitzungsöffentlichkeit, die 
Bekanntgabe von Tagungsort und 
Tagesordnung, die Verschaffung ei- 


ner Teilnahmemöglichkeit für Zuhörer 
oder die Bekanntgabe von Beschlüssen 
und Veröffentlichung von Protokollen. 
Die Zugänglichkeit in Form einer 
Saalöffentlichkeit- also des ungehinder- 
ten persönlichen Zugangs zur Sitzung — 
genügt nach heutiger Rechtsprechung 
zur Medienöffentlichkeit in Gerichts- 
verhandlungen® bereits den Anfor- 
derungen demokratischer Kontrolle. 

Im politischen Diskurs wird dies in 
Anbetracht wachsender Wahlmüdigkeit, 
zunehmender Komplexität politischer 
Entscheidungen undeinemsich wandeln- 
den Mediennutzungsverhalten zu Recht 
kritisch gesehen. Die Bereitstellung von 
Informationen über das Internet bietet ei- 
ner größeren Breite von Bürgerinnen und 
Bürgern die Möglichkeit der unmittelba- 
ren Teilnahme an Diskussionsprozessen 
und dies auch zeitlich versetzt. 

Einen Rechtsanspruch auf die Teil- 
nahme an Sitzungen durch ein Live- 
Streaming-Angebot gibt es jedoch nicht, 
ebenso keinen Rechtsanspruch für Sit- 
zungsteilnehmer zur Aufzeichnung. 

Die Entscheidung obliegt dem je- 
weiligen Gesetzgebers und nach der 
Kommunalverfassung MV innerhalb des 
gesetzliche Zulässigen der Gemeinde- 
vertretung. Der Landesgesetzgeber hat 
in zulässiger Weise den Zugang zur 
Sitzung und die Möglichkeit der medi- 
alen Berichterstattung in der Kommunal- 
verfassung MV 2011 neu geregelt. 

Diese Neuregelung begründet die 
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Landesregierung wie folgt: „Durch 
die Neuregelung zur Zulässigkeit von 
Filmaufnahmen und Tonmitschnitten in 
Absatz 5 wird es erstmals rechtssicher 
möglich, dem Informationsbedürfnis der 
Bürgerinnen und Bürger nach unmittel- 
barer Bild- und Tonberichterstattung 
durch die Medien Rechnung zu tra- 
gen. Aufgrund der bisherigen Recht- 
sprechung, die die Bereitschaft bzw. die 
Fähigkeit zur freien unvoreingenomme- 
nenRede durch Film-und Tonaufnahmen 
gefährdet sieht, ist es bisher selbst im 
Falle des Einverständnisses sämtli- 
cher Mandatsträger rechtlich umstrit- 
ten gewesen, ob den Medien diese Art 
der Berichterstattung gestattet werden 
kann. Die Neuregelung verbessert die 
Transparenz des Sitzungsgeschehens ge- 
genüber der Öffentlichkeit, gewährleistet 
aber auch einen Minderheitenschutz.‘“ 7 

Damit enthält die Kommunalver- 
fassung eine spezialgesetzliche Rege- 
lung zu Bild- und Tonaufnahmen durch 
die Medien. „Medien“ bezeichnet dabei 
den Kreis der durch die Rundfunkfreiheit 
Art. 5 Abs. 1 Satz 2 GG besonders pri- 
vilegierten Rundfunkveranstalter. Die 
zulässige Privilegierung der institutio- 
nalisierten Medien ist verfassungsrecht- 
lich einerseits geboten, andererseits auch 
rundfunkrechtlich reglementiert. 

Art. 5 Abs. 1 Satz 2 GG schützt 
die Freiheit der Berichterstattung als 
Funktionsgarantie des demokratischen 
Gemeinwesens. Dieser Schutz erstreckt 
sich auf den ungehinderten Zugang zur 
Gemeindevertretungssitzung und „die 
Möglichkeit, ein Ereignis den Zuhörern 
und Zuschauern unter Einsatz von 
Aufnahme- und Übertragungsgeräten 
akustisch und optisch in voller Länge 
oder in Ausschnitten, zeitgleich oder 
zeitversetzt zu übertragen. In wel- 
cher konkreten technischen Ausge- 
staltung dies erfolgt, also auch ob als 
Live-Stream oder Aufzeichnung, un- 
terfällt allein der Entscheidung des 
Rundfunkveranstalters bzw. den rund- 
funkrechtlichen Beschränkungen für die 
Internetpräsentation von Inhalten. Über 
die Zugänglichkeit und die Art des Zu- 
gangs entscheidet jedoch der jeweils 
Berechtigte in den Grenzen der gesetzli- 
chen Vorgaben. Aus dem Grundrecht der 
Rundfunkfreiheit leitet sich ebenso wie 
aus dem Grundrecht auf Informations- 
freiheit kein Zugangsanspruch ab, son- 


dern allein der Anspruch auf einen 
diskriminierungsfreien Zugang. 


Live-Streaming durch sonstige 
Dritte 


Die Kommunalverfassung enthält so- 
mit zwar eine vorrangige spezialgesetz- 
liche Regelung für Medien, nicht je- 
doch für sonstige Dritte. Angesichts 
der Miniaturisierung der Aufnahme- 
und Übertragungstechnik wird es für 
die Sitzungsteilnehmer zunehmend 
schwieriger überhaupt zu erkennen, ob 
eine Aufzeichnung durch Ditte statt- 
findet und diese eventuell auch di- 
rekt ins Internet übertragen wird. Hier 
stößt das Datenschutzrecht mit fort- 
schreitender technischer Entwicklung 
zunehmend an die Grenzen seiner 
Durchsetzbarkeit und damit seiner 
Legitimation. Die gleiche Problematik 
stellt sich für die Durchsetzbarkeit des 
Rechtes am eigenen Bild nach dem 
Kunsturhebergesetz.’ Gleichwohl bleibt 
die Gemeindevertretung im Rahmen ih- 
res Hausrechtes verpflichtet, während 
der Sitzung für die Wahrung der Rechte 
der Abgeordneten und der beteiligten 
Bürgerinnen und Bürgerim Rahmen ihrer 
Möglichkeiten Sorge zu tragen. Dazu ge- 
hört auch die Durchsetzung des Rechtes 
auf informationelle Selbstbestimmung. 

Die Gesetzesbegründung der Landes- 
regierung zur Novellierung der Kom- 
munalverfassung MV 2011 führt hier- 
zu aus: „Soweit die Hauptsatzung neben 
den Medien auch Dritten mit berechtig- 
ten Interessen -bspw. Bürgerinitiativen— 
Film- oder Tonaufnahmen gestatten will, 
steht dem die gesetzliche Regelung nicht 
entgegen.“ 

Damit betont einerseits die Landes- 
regierung die Nicht-Geltung der Sonder- 
regelung für Medien für andere Dritte. 
Zugleich unterstreicht dies das Recht 
der Gemeindevertretung, den glei- 
chen Sachverhalt bezüglich einer Über- 
tragung durch Dritte selbst zu regeln. 
Dabei hat die Landesregierung aller- 
dings unberücksichtigt gelassen (jeden- 
falls nicht hinzugefügt), ob bei einer 
solchen Gestattung gegenüber Dritten 
die gleichen Einschränkungen wie für 
Medien gelten sollen, also die pflichti- 
ge Untersagung, wenn dem ein Viertel 
aller Mitglieder der Gemeindevertretung 
in geheimer Abstimmung widerspricht. 


103 


Da die Gestattung selbst jedoch bereits 
Gegenstand einer Beschlussfassung der 
Gemeindevertretung ist und eine ent- 
sprechende Regelung in der Haupt- 
satzung der Gemeinde voraussetzt, ist 
eine vergleichbare verfahrensrechtliche 
Sicherstellung auch gegenüber Dritten 
durchsetzbar und zum Schutz der 
Minderheitenrechte auch geboten. 


Einschränkung der Übertragung 
durch Beschluss 


Mit der Entscheidung zu $ 29 Abs. 5 
Satz 5 KV MV hat der Gesetzgeber 
den Zugang der Medien zu den dort ge- 
nannten Bedingungen eröffnet. Dieser 
kann durch die Gemeindevertretungen 
nur aufgrund eines Beschlusses ver- 
wehrt werden, bei dem ein Viertel der 
Gemeindevertreter widersprechen. Zum 
Schutz der Entscheidungsfreiheit des 
einzelnen Abgeordneten sieht die Kom- 
munalverfassung hierfür eine gehei- 
me Abstimmung vor. Dieses Verfahren 
entspricht nicht der Abstimmung zur 
Frage der Herstellung der Nicht-Öffent- 
lichkeit einer Sitzung gem. $ 29 Abs. 5 
Satz 2 KV MV, die in nicht-öffentlicher 
Sitzung zu erfolgen hat, jedoch ohne das 
Erfordernis eines objektiven Geheim- 
haltungsgrundes und mit einem geringe- 
rem Quorum. Eine geheime Abstimmung 
ist jedoch teilweise aufwändiger, muss 
diese doch wie eine Wahlhandlung 
schriftlich erfolgen, um die Geheim- 
haltung trotz Sitzungsöffentlichkeit zu 
gewährleisten. 

Die Wahl des Quorums von einem 
Viertel der Gemeindevertreter hat der 
Gesetzgeber nicht begründet, allerdings 
ein typisches Minderheiten-Quorum ge- 
nutzt (so auch in $$ 29 As. 7, 31 Abs. 
2, 34 Abs. 2, 37 Abs. 2, 71 Abs. 4 KV 
MV, dort allerdings in der Regel zu- 
sätzlich mit dem Quorum „oder eine 
Fraktion“). Andererseits verzichtete der 
Gesetzgeber auf die Möglichkeit, bereits 
den Widerspruch eines Einzelnen ausrei- 
chen zu lassen und macht damit deutlich, 
mitdieser Regelung nicht das individuelle 
Grundschutzbedürfnis eines Einzelnen im 
Auge gehabt zu haben, sondern einen eher 
politischen „Minderheitenschutz“. Damit 
entschied sich der Landtag ausdrück- 
lich gegen die Empfehlung des Landes- 
datenschutzbeauftragten, hier das indi- 
viduelle Selbstbestimmungsrecht eines 
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Abgeordneten zu berücksichtigen. Eine 
schlüssige Begründung für das gewählte 
Quorum ergibt sich aus der Begründung 
des Gesetzentwurfes nicht. Insofern dürf- 
te eine Prüfung der Verfassungsmäßigkeit 
dieser Regelung interessante Debatten 
auslösen. 

Gleichwohl muss man diese Aus- 
nahmeregelung auch bei der Gewährung 
der Möglichkeit des Live-Streamings für 
Dritte, die keine Medien im rechtlichen 
Sinne vertreten, oder bei einem Streaming 
durch die Gemeindevertretung selbst ana- 
log anwenden. Es ist kein Grund erkenn- 
bar, warum eine Veröffentlichung durch 
die Medien anders bewertet werden soll 
als eine Veröffentlichung durch Dritte auf 
einem Medium mit größerer und länge- 
rer Reichweite, dem Internet. Wenn man 
die Möglichkeit der Beeinträchtigung 
von Minderheitsrechten durch eine 
Übertragung von Debatten über das 
Internet überhaupt annimmt, dann unter- 
scheidet sich diese jedenfalls kaum durch 
den jeweiligen Veranlasser. Ganz im 
Gegenteil darf man davon ausgehen, dass 
die Verbreitung professioneller Medien 
auch im Internet regelmäßig größer ist, 
als durch sonstige Dritte. 


Zugang durch Dritte nicht nur mit 
„berechtigtem Interesse“ 


In der Gesetzesbegründung nimmt 
der Gesetzgeber die Möglichkeit einer 
Berichterstattung durch Dritte in der 
Weise auf, dass der Gemeindevertretung 
durch eine Regelung in der Hauptsatzung 
damit weiterhin die Möglichkeit eröff- 
net sei, auch Dritten „mit berechtigten 
Interessen“ Film- oder Tonaufnahmen 
zu gestatten. 

Offen lässt der Gesetzgeber, wie zwi- 
schen Dritten mit und ohne „berechtig- 
tem Interesse“ unterschieden werden 
soll. Da eine solche Unterscheidung 
gesetzlich nicht vorgesehen ist, sollte 
hierauf aus Praktikabilitätserwägungen 
bei der Ausgestaltung einer Haupt- 
satzungsregelung verzichtet werden. 
Eine Unterscheidung zwischen berech- 
tigtem und unberechtigtem Interesse 
würde jeden Entscheider dem Vorwurf 
einer Zensur aussetzen und wäre ge- 
richtlich auch nicht überzeugend über- 
prüfbar. Da ein rechtliches Interesse im 
Sinne eines Rechtsanspruches für Dritte 
in der Regel ausscheidet, bietet sich hier 


in Analogie zum Informationsanspruch 
aus dem Informationsfreiheitgesetz al- 
lein eine Gleichbehandlung an. Sollten 
sich zu viele Fernsehteams oder son- 
stige Videokameras im Sitzungssaal 
befinden und dadurch den Verlauf der 
Sitzung oder die mit gleichen Rechten 
ausgestatteten sonstigen Zuhörer stö- 
ren, kann hierauf im Einzelfall mit den 
Mittel des Hausrechtes reagiert wer- 
den. Hier kann in Anlehnung an die 
Erfahrungen bei Gerichtsverhandlungen 
eine Akkreditierung bzw. vorheri- 
ge Anmeldung verlangt werden, der 
Zutritt auf einen bestimmten Bereich 
räumlich oder zeitlich begrenzt werden 
oder Vorgaben zur Kameraführung und 
Ausleuchtung gemacht werden. 


Hauptsatzung als Rechts- 
grundlage 


Eine „andere Rechtsvorschrift“ gem. 
$ 7 Abs. 1 Nr. 2 DSG MV kann ne- 
ben einem bereichsspezifischen Gesetz 
wie der Kommunalverfassung auch 
eine Satzung der Körperschaft sein. 
„Wie die staatlichen Gesetzgeber für 
ihren Kompetenzbereich gehalten 
sind, normenklare bereichsspezifische 
Grundlagen für die Datenverarbeitung 
zu schaffen, müssen dies auch Satzungs- 
geber im Rahmen ihrer Zuständigkeit. 
Satzungen haben deshalb ausdrück- 
lich die notwendigen und zulässigen 
Verarbeitungsschritte zu benennen und 
festzulegen, von wem, auf welche Weise 
und für welche Aufgaben die erforder- 
lichen personenbezogenen Daten verar- 
beitet werden dürfen.‘“'® 

Sollte es im Rahmen der Aufgaben- 
erfüllung der Gemeindevertretung im 
Einzelfall erforderlich sein, auf die per- 
sönlichen oder sachlichen Verhältnisse 
eines Bürgers derart einzugehen, dass 
hierbei konkrete Einzelangaben über be- 
stimmte oder bestimmbare Personen in 
einer Öffentlichen Sitzungen offenbart 
werden, richtet sich die Beurteilung ei- 
ner solchen Übermittlung — im Sinne ei- 
ner Bekanntgabe an Dritte — nach $$ 7 
Abs.1 Nr. 1, 10 Abs. 1 DSG. 

Während des Live-Streamings einer 
Gemeindevertretungssitzung werden ei- 
nerseits die Äußerungen, das Abstim- 
mungsverhalten oder auch das non- 
verbale Verhalten eines Abgeordneten 
übermittelt. Diese Übermittlung soll 
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dem Zweck dienen, die demokratische 
Beteiligungsmöglichkeit der Bevölke- 
rung, die Informiertheit über den demo- 
kratischen Prozess und nicht zuletzt da- 
mitdie Akzeptanz von Entscheidungen zu 
verbessern. Diese Zielstellung geht über 
eine bloße Öffentlichkeitsarbeit hinaus, 
braucht es doch hierfür Glaubwürdigkeit 
durch Authentizität. 

Gem. $ 22 KV MV ist die Ge- 
meindevertretung die Vertretung der 
Bürgerinnen und Bürger und das oberste 
Willensbildungs- und Beschlussorgan 
der Gemeinde. Ihre Mitglieder üben ihr 
Mandat im Rahmen der Gesetze nach 
ihrer freien, nur dem Gemeinwohl ver- 
pflichteten Überzeugung aus. Sie sind 
an Aufträge und Verpflichtungen, durch 
welchedieFreiheitihrerEntschließungen 
beschränkt wird, nicht gebunden. Die 
Mitglieder der Gemeindevertretung sind 
zur Teilnahme an den Sitzungen und zur 
Mitarbeit verpflichtet, wenn sie nicht aus 
wichtigem Grund verhindert sind ($ 23 
KV MV). Gemäß $ 29 Abs. 5 KV MV 
sind die Gemeindevertretungssitzungen 
öffentlich. 

Obwohl die Gemeindevertretung 
kein Parlament im verfassungsrechtli- 
chen Sinne ist, sondern als Organ der 
Gemeinde neben dem Organ Bürger- 
meister steht, erfüllt sie ihre Aufgaben 
in der Regel als demokratisches Organ 
in der und kontrolliert durch die 
Öffentlichkeit. Ihre Mitglieder werden 
in demokratischen Wahlen bestimmt und 
müssen sich damit auch einer demokrati- 
schen Öffentlichkeit stellen. 

Allerdings enthält die Kommunal- 
verfassung zwar Regelungen zu den 
Aufgaben, zur Gestaltung des Sitzungs- 
ablaufes und zum Zugang der Öffent- 
lichkeit hierzu, aber keine den ver- 
fassungsrechtlichen Anforderungen an 
Normenklarheit genügende Datenver- 
arbeitungsgrundlage. Damit scheidet 
die Kommunalverfassung als mögliche 
Rechtsgrundlage aus. 

Will die Gemeindevertretung selbst 
ihre öffentlichen Sitzungen zur För- 
derung der demokratischen Beteiligung 
und Information der Bürgerinnen und 
Bürger über das Medium Internet breite- 
ren Kreisen der Bevölkerung zugänglich 
machen, brauchtsiehierfürgem.$7 Abs. 1 
Nr. 2 DSG MV eine Rechtsgrundlage. 
Da die Kommunalverfassung keine nor- 
menklare gesetzliche Grundlage für die 
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Verarbeitung personenbezogener Daten 
zur Öffentlichkeitsarbeit enthält, ist eine 
Regelung in der Hauptsatzung erforder- 
lich. 

Die Hauptsatzung kann eine gesetz- 
liche Grundlage im Sinne des DSG MV 
sein!', wenn diese hinreichend normen- 
klar und verhältnismäßig die Daten- 
verarbeitung gestattet, also ihrerseits die 
verfassungsrechtlichen Anforderungen 
aus der Grundrechtsausprägung des 
Rechtes auf informationelle Selbst- 
bestimmung erfüllt!?. 

Die Gemeinde hat im Rahmen der 
verfassungsrechtlich garantierten 
Selbstverwaltung und im Rahmen 
der Gesetze ein Satzungsrecht, $ 5 
Abs. 1 KV MV. Hierüber kann die 
Gemeindevertretung zusätzlich zum 
Recht der Medien auf Berichterstattung 
gem. $ 29 Abs. 5 KV MV selbst zu 
der Entscheidung kommen, ein Live- 
Streaming für erforderlich zur Erfüllung 
der Aufgaben der Gemeindevertretung 
anzusehen und damit auch die da- 
tenschutzrechtliche Grundlage durch 
Satzungsregelung schaffen. Rechtmäßig 
zustande gekommene Satzungen kön- 
nen eine Rechtsgrundlage für Daten- 
verarbeitungen im Sinne des $ 7 Abs. 1 
Nr. 2 DSG MV sein. Hieraus folgt das 
zwingende Erfordernis der Schaffung 
einer Regelung, in der die wesentlichen 
Anforderungen und Bedingungen trans- 
parent, normenklar und verhältnismäßig 
geregelt sind. 


Regelungsinhalt der Satzung 


Die Hauptsatzungsregelung _soll- 
te in der Zweckbestimmung der Live- 
Streaming-Gestattung an die Aufgaben 
der Gemeindevertretung anknüpfen 
und die Erlaubnis auf diese Zwecke be- 
grenzen. Zusätzlich sollte der Umfang 
genau bestimmt werden. Hier kann ein 
Unterschied zwischen den Sitzungen 
der Gemeindevertretung und den Aus- 
schüssen gemacht werden. Daneben ist 
es empfehlenswert, auch die Dauer des 
Bereithaltens einer Aufzeichnung festzu- 
legen. Hier kann die Gemeindevertretung 
je nach Zielrichtung der Aufzeichnung 
variieren. Auch wenn eine solche 
Beschränkung keine Gewähr dafür bietet, 
dass Aufzeichnungen nicht auch zu ei- 
nem späteren Zeitpunkt noch online ver- 
fügbar sind, könnte die Maßnahme geeig- 


net sein, einer dauernden Verfügbarkeit 
entgegen zu wirken. Soll nur eine zeitna- 
he Nachvollziehbarkeit der Beratungen 
der Gemeindevertretung ermöglicht wer- 
den, wäre eine Beschränkung auf sie- 
ben Tage im Anschluss der Gemeinde- 
vertretungssitzung denkbar, wie es 
aus anderen Gründen für Öffentlich- 
rechtliche Medieninhalte vorgeschrie- 
ben ist. Maßstab könnte aber auch eine 
Wahlperiode oder wenigstens ein Jahr 
sein, um auch die Nachverfolgbarkeit be- 
stimmter kommunalpolitischer Entschei- 
dungen zu ermöglichen. 

Diese Regelung könnte wie folgt aus- 
gestaltet sein: 


« E(1) Die öffentlichen Sitzungen der 
Gemeindevertretung und ihrer Aus- 
schüsse werden zur Förderung der de- 
mokratischen Beteiligung der Bürger 
durch die Gemeinde live im Internet 
übertragen und als Aufzeichnung für 
den Zeitraum von ... zum Abruf über 
die Internetseite der Gemeinde bereit 
gehalten. 

E(2) Die Übertragung kann auch durch 
Dritte erfolgen. Ein Anspruch hierauf 
besteht nicht. 


Soweit eine Datenverarbeitung grund- 
sätzlich zulässig sein soll, ist die Wahr- 
nehmung der Betroffenenrechte si- 
cher zu stellen. Dies gilt sowohl bei 
der Durchführung des Live-Streamings 
durch die Gemeinde selbst als auch bei 
der Durchführung durch Dritte. 

Von einer Datenverarbeitung betrof- 
fen sind alle Personen, von denen Daten 
in diesem Zusammenhang verarbeitet 
werden. Für ein Live-Streaming wäh- 
rend einer Gemeindevertretungssitzung 
kommen folgende Betroffenengruppen 
in Betracht: 


« die gewählten Gemeindevertreter, 
berufene oder sachkundige Ausschuss- 
mitglieder, die nicht Mitglieder der 
Gemeindevertretung sind, 
Beschäftigte der Gemeinde, 
Personen, deren Daten zum Gegen- 
stand der Beratung gemacht werden, 
Bürger, die die Möglichkeit einer Bür- 
geranfrage nutzen wollen und 
Zuhörer. 


Zu den jeweiligen Betroffenengruppen 
sind neben den allgemeinen Rechten 
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auch spezifische Vorschriften zu berück- 
sichtigen. 

So ist bei einer möglichen Einbe- 
ziehung von Beschäftigten der Gemein- 
de in die Berichterstattung der Personal- 
rat rechtzeitig einzubeziehen. Dieser hat 
im Rahmen seines Überwachungsrechts 
die Befugnis, bei dem Dienststellenleiter 
aufdie Beachtung der Datenschutzrechte 
der Mitarbeiter hinzuwirken.'” Der 
Bürgermeister selbst muss dann die- 
se Verantwortung auch gegenüber der 
Gemeindevertretung geltend machen 
und notfalls durchsetzen. 

Soweit personenbezogene Daten 
zum Gegenstand einer Beratung der 
Gemeindevertretung gemacht werden 
sollen oder müssen, ist die Öffentlichkeit 
und damit auch das Live-Streaming 
grundsätzlich auszuschließen. 

Da der Umstand der Live-Bericht- 
erstattung geeignet ist, das Recht auf 
eine Bürgeranfrage während der Sitzung 
einzuschränken, ist die Möglichkeit der 
Einschränkung der Übertragungsrechte 
im Einzelfall in die Hauptsatzung auf- 
zunehmen. Bürgerinnen und Bürger 
könnten die im Gegensatz zur Sitzungs- 
öffentlichkeit potentiell deutlich er- 
weiterte Öffentlichkeit und vor allem 
den Umstand einer jederzeit mögli- 
chen Aufzeichnung, Speicherung und 
Widergabe von einer Fragestellung ab- 
halten. 

Hierauf sollte die Gemeindevertretung 
Rücksicht nehmen und den Fragestellern 
entweder das Recht einräumen, selbst 
zu entscheiden und die Unterbrechung 
der Übertragung zu verlangen, oder or- 
ganisatorisch sicher stellen, dass die 
Personen nicht gezeigt werden, sondern 
nur die Beantwortung. 

Eine entsprechende Satzungsregelung 
könnte wie folgt ausgestaltet sein: 


E(3) Das Live-Streaming erfolgt aus- 
schließlich durch Aufzeichnen ei- 
nes Bildes des Rednerpultes und des 
Präsidiums der Gemeindevertretung. 
Bürgeranfragen dürfen nur als Ton 
aufgezeichnet werden. 


Verantwortlich für den rechtmäßi- 
gen Umgang mit den personenbezoge- 
nen Daten ist die so genannte „Daten 
verarbeitende Stelle“. Dabei gilt das 
Landesdatenschutzgesetz für Behörden 
und öffentlich-rechtliche Einrichtungen 
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und Stellen des Landes, der Gemeinden, 
der Ämter, der Landkreise sowie für son- 
stige der Aufsicht des Landes unterste- 
hende juristische Personen des öffentli- 
chen Rechts (öffentliche Stellen) sowie 
für juristische Personen und sonstige 
Vereinigungen des privaten Rechts, die 
Aufgaben der öffentlichen Verwaltung 
wahrnehmen und an denen eine oder 
mehrere der in Absatz | genannten juristi- 
schen Personen des öffentlichen Rechts 
mit absoluter Mehrheit der Anteile oder 
Stimmen beteiligt sind. Beteiligt sich 
eine juristische Person oder sonstige 
Vereinigung des privaten Rechts, auf die 
dieses Gesetz Anwendung findet, an ei- 
ner weiteren Vereinigung des privaten 
Rechts, so findet das DSG MV auch dort 
entsprechende Anwendung. Nehmen 
nicht-öffentliche Stellen hoheitliche 
Aufgaben der öffentlichen Verwaltung 
wahr, sind sie insoweit öffentliche 
Stellen im Sinne dieses Gesetzes. 

Besondere Anforderungen ergeben 
sich dann, wenn die zuständige Stelle 
einen Dritten mit der Verarbeitung per- 
sonenbezogener Daten beauftragt, der 
sog. Auftragsdatenverarbeitung. Auch 
bei der Beauftragung Dritter bleibt 
die Behörde datenschutzrechtlich ver- 
antwortlich, die den Auftrag erteilt, 
$ 4 Abs. 1 DSG MV. Daraus folgt die 
Anforderung, beim Auftragnehmer den 
gleichen Sicherheitsstandard für die per- 
sonenbezogenen Daten der Betroffenen 
zu gewährleisten, wie er innerhalb 
der Behörde wäre. Dies beginnt be- 
reits bei der Auswahl eines geeigneten 
Auftragnehmers, der seine Eignung vor 
der Vergabe des Auftrages nachweisen 
muss. Dabei reicht es nicht aus, sich auf 
Erklärungen zu verlassen. Vielmehr müs- 
sen alle Details der Datenverarbeitung 
und deren Randbedingungen vertraglich 
geklärt und vorab sowie dann laufend 
vor Ort geprüft werden. Die konkreten 
Anforderungen hierfür ergeben sich aus 
dem Gesetz. 

Es ist nur ein scheinbarer Widerspruch, 
wenn das Datenschutzrecht einen 
Transparenzgrundsatzhat. Dieser Grund- 
satz ist vielmehr die logische Konse- 
quenz aus dem Ziel, dass der Einzelne vor 
einer Beeinträchtigung seines Rechtes 
geschützt werden soll, „aus eigener 
Entscheidung zu planen und zu agieren“. 
Voraussetzung dafür ist es wenigstens 
einigermaßen abschätzen zu können, 


welche ihn betreffenden Informationen 
in seinem sozialen Umfeld bekannt sind. 
Diese Selbstbestimmungsmöglichkeit 
setzt also Kenntnis voraus, weshalb alle 
Datenverarbeitungsprozesse so transpa- 
rent wie möglich sein müssen. Dies be- 
deutet jedoch nicht, dass die verarbeite- 
ten Daten für Jedermann transparent sein 
sollen, sondern nur die Bedingungen, 
unter denen die Daten verarbeitet wer- 
den. 

Eine entsprechende Satzungsregelung 
für das Live-Streaming könnte wie folgt 
ausgestaltet sein: 


« E(4) Der Umstand der Aufzeichnung 
und die verantwortliche Stelle sind 
mit der Einladung mitzuteilen und 
vor Betreten des Sitzungsraumes 
kenntlich zu machen. Zu Beginn der 
Sitzung weist der Sitzungsleiter die 
Teilnehmer auf ihr Widerspruchsrecht 
hin, das gegenüber dem Sitzungsleiter 
auszuüben ist. 


Einwilligung 


Eine Einwilligung kann nur im 
Rahmen der gesetzlichen Grenzen 
des DSG MV die fehlende gesetzli- 
che Grundlage ersetzen. Hier bedarf 
die Einwilligung „der Schriftform, so- 
weit nicht wegen besonderer Umstände 
eine andere Form angemessen ist. ... 
Der Betroffene ist in geeigneter Weise 
über die Bedeutung und Tragweite der 
Einwilligung, insbesondere über die 
Art und den Umfang der Verarbeitung 
sowie über Empfänger beabsichtig- 
ter Übermittlungen von Daten, auf- 
zuklären. ... Der Betroffene ist un- 
ter Darlegung der Rechtsfolgen darauf 
hinzuweisen, dass er die Einwilligung 
verweigern und mit Wirkung für die 
Zukunft widerrufen kann.“ 

Eine Einwilligung ist nur wirksam, 
wenn sie auf der freien Entscheidung 
des Betroffenen beruht. Dies kann also 
nur der Fall sein, wenn der Betroffene, 
in Kenntnis aller Umstände (auch der 
rechtlichen und tatsächlichen Folgen 
seine Einwilligung) frei von sachfrem- 
den Erwägungen („Haben Sie etwa was 
zu verbergen?“) ohne Nachteile befürch- 
ten zu müssen, entscheiden kann. 

Im Unterschied zur gesetzlichen er- 
laubten Live-Übertragung durch die 
Medien oder durch eine Erlaubnis nach 
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der Hauptsatzung der Gemeinde braucht 
es ohne eine solche Satzungsregelung die 
individuelle Einwilligung. Dann wür- 
de also ein einzelner Widerspruch aus- 
reichen, um ein Verbot der Verbreitung 
von Bildern und Ton von dieser Person 
zu rechtfertigen. 

Auch aus Praktikabilitätsgründen 
wird die Einwilligung aller potentiell 
betroffenen Sitzungsteilnehmer (Wahl- 
beamte, Gemeindevertreter, Verwal- 
tungsmitarbeiter, sachkundige Bürger, 
Zuschauer) selten rechtswirksam ein- 
zuholen sein. Deshalb kann nur eine 
Satzungsregelung die nötige Rechts- 
grundlage für Live-Streaming schaffen. 


Anforderungen an die 
behördliche Organisation 


Frühzeitige Einbeziehung 
des behördlichen 
Datenschutzbeauftragten 


Jede Behörde hat einen Datenschutz- 
beauftragten und einen Vertreter schrift- 
lich zu bestellen und diesem die er- 
forderliche sachliche und finanzielle 
Ausstattung zur Erfüllung seiner Auf- 
gabe als interner, aber unabhängiger 
Kontrolleur zu gewähren. Der behördli- 
che Datenschutzbeauftragte hat neben der 
Überwachungaber vor allem die Aufgabe, 
die Mitarbeiterinnen und Mitarbeiter bei 
der Anwendung des Datenschutzrechtes 
zu beraten und auf die Einhaltung der 
Vorschriften „hinzuwirken“. Auch ohne 
gesetzliche Verpflichtung hat er selbst- 
ständig und unabhängig jedes neue 
Datenverarbeitungssystem, den geplan- 
ten Einsatz von Videoüberwachung 


oder auch die Beschaffung neu- 
er Kommunikationstechnik auf die 
Einhaltung der datenschutzrechtli- 


chen Anforderungen hin zu untersu- 
chen und dieses Ergebnis gegenüber 
der Behördenleitung zu vertreten. Dies 
gilt erst Recht bei einem Projekt wie der 
Einführung eines Live-Streamings. 

Der Datenschutzbeauftragte der Be- 
hörde ist aber auch Ansprechpartner 
der Bürgerinnen und Bürger bei Fragen 
oder Beschwerden über den Umgang 
der Behörde mit seinen Daten. Deshalb 
sollte auch eine Kontaktmöglichkeit 
beispielsweise im Internetangebot of- 
fen kommuniziert werden. Zumindest 


DANA » Datenschutz Nachrichten 3/2013 


alle Mitarbeiterinnen und Mitarbeiter 
müssen wissen, wer in ihrer Behörde 
der Ansprechpartner für Fragen und 
Probleme ist. 

Mit seiner Funktion als un- 
abhängige Kontrollstelle ist der 
Datenschutzbeauftragte der natürliche 
Verbündete der Kommunalvertretung, 
wacht er doch - wie auch die Abgeordne- 
ten — über den rechtmäßigen Umgang 
der Verwaltung mit Bürgerdaten. Aber 
auch die Abgeordneten können sich 
in ihrer Tätigkeit beim behördlichen 
Datenschutzbeauftragten Rat holen. 

Im Rahmen von Gemeindevertre- 
tungssitzungen wirken auch Mitar- 
beiterinnen und Mitarbeiter der Ge- 
meinde mit, ohne gewählt zu sein. 
Entweder als Unterstützungskräfte für die 
Versammlungsleitung oder als sachkun- 
dige Auskunftspersonen können sie somit 
auch im Rahmen eines Live-Streamings 
betroffen sein. Damit ist der Personal- 
rat in die Vorbereitung einzubeziehen, da 
diesem eine eigenständige Verantwortung 
bei der Verarbeitung personenbezogener 
Daten der Mitarbeiter zukommt, $$ 61 
Nr. 2, 70 Abs. 1 Nr. 1 PersVG. 


Technisch-organisatorische 
Maßnahmen 


Das Gesetz verlangt von allen Behörden 
undöffentlichen Stellen die Sicherstellung 
der technischen und organisatorischen 
Maßnahmen, die nach dem Stand der 
Technik und nach der Schutzbedürftigkeit 
der zu verarbeitenden Daten erforderlich 
und angemessen sind. Deshalb ist es im 
Datenschutzgesetz von Mecklenburg- 
Vorpommern zwingend vorgeschrieben 
(8 22 Abs. 5 DSG MV), für Systeme der 
automatisierten Datenverarbeitung ein 
Sicherheitskonzept zu erstellen. In die- 
sem Sicherheitskonzept sind sowohl die 
Schutzbedarfsfeststellung als auch die 
getroffenen Sicherheitsmaßnahmen zu 
dokumentieren und regelmäßig fortzu- 
schreiben. 

Eine wirksame Maßnahme zur Ein- 
grenzung der weltweiten Erreich- und 
Speicherbarkeit der übertragenden 
Videostreams ist die Eingrenzung der 
IP-Adressräume für den Empfang der 
Übertragung bzw. den Abruf der Daten. 
Dies wird zwar nicht überzeugend „ge- 
meindescharf“ möglich sein, aber zu- 
mindest der Zugriff von Servern aus 


anderen Ländern kann so eingegrenzt 
werden. 


Verfahrensverzeichnis 


Das wichtigste Planungs- und Orga- 
nisationsmittel ist das Verfahrensver- 
zeichnis, das für jede öffentliche Stelle 
die Beschreibungen der verwendeten 
Datenverarbeitungssysteme enthält und 
— mit Ausnahme der sicherheitsrelevan- 
ten Angaben — jedermann zur Einsicht 
gegeben werden muss. Damit kann jeder 
Bürger ohne eine Begründung erfahren, 
wie die Verwaltung mit seinen Daten um- 
geht. Hier ist auch das Live-Streaming als 
ein Verfahren aufzunehmen. 

Inhalt Verfahrensbeschreibung: die 
Bezeichnung des Verfahrens und der 
verarbeitenden Stelle, den Zweck und 
die Rechtsgrundlage der Verarbeitung, 
die Art der gespeicherten Daten, den 
Kreis der Betroffenen, den Kreis der 
Empfänger, denen die Daten mitgeteilt 
werden, geplante Datenübermittlungen 
in Drittländer, eine allgemeine Beschrei- 
bung der technischen und organisatori- 
schen Maßnahmen nach den $$ 21 und 
22. 

Das Verfahrensverzeichnis führt der 
behördliche Datenschutzbeauftragte, der 
dieses auch zur Einsichtnahme bereit- 
halten muss. Dem Transparenzgrundsatz 
folgend bietet es sich jedoch an, die- 
ses Verfahrensverzeichnis auf der 
Internetpräsentation der öffentlichen 
Stelle zu veröffentlichen. 


Auftragsdatenverarbeitung 


Besondere Pflichten ergeben sich 
aus der Beauftragung eines Dienst- 
leisters. Hierzu hat der LfD MV eine 
Orientierungshilfeherausgegeben.'* $ 4 
DSG MV legt die bei einer Auftrags- 
datenverarbeitung zu beachtenden An- 
forderungen fest und stellt in Absatz 4 
ausdrücklich klar, dass auch bei Wartungs- 
und Fernwartungsarbeiten sowie bei an- 
deren Hilfstätigkeiten die Vorschriften 
über Auftragsdatenverarbeitung entspre- 
chend anzuwenden sind, so beispielswei- 
se, wenn private Dienstleister Software 
installieren, pflegen oder korrigieren oder 
Hardware überprüfen, reparieren oder 
austauschen. 

Das Übertragen und Aufzeichnen 
von Sitzungen der Gemeindevertretung 


107 


stellt eine Datenverarbeitung dar, für 
die im Fall der Beauftragung durch die 
Gemeinde ein Vertrag erforderlich ist. 

Der Auftrag zur Verarbeitung perso- 
nenbezogener Daten ist schriftlich zu er- 
teilen. Die wesentlichen Aspekte, wie 
Art und Umfang der Verarbeitung so- 
wie die technischen und organisatori- 
schen Maßnahmen, sind detailliert und 
verbindlich festzulegen. Der nachfol- 
gende Mustervertrag zur Verarbeitung 
personenbezogener Daten im Auftrag 
soll als Orientierungshilfe bei der 
Auftragsvergabe dienen und ist im 
Einzelfall aufgabenspezifisch anzupas- 
sen. Durch die Auftragsgestaltung muss 
gewährleistet sein, dass das für öffentliche 
Stellen geltende Datenschutzrecht in vol- 
lem Umfang berücksichtigt und das hohe 
Datenschutzniveau beibehalten wird. 
Voraussetzung hierfür ist unter anderem, 
dass der Auftragnehmer unter besonderer 
Berücksichtigung seiner Eignung aus- 
gewählt wird. Der Auftraggeber hat da- 
bei zu prüfen, ob der Auftragnehmer die 
erforderlichen Sicherheitsmaßnahmen 
nach $$ 21 und 22 DSG MV realisieren 
kann. Gemäß $ 4 Abs. 3 Satz 2 DSG MV 
ist der Auftraggeber verpflichtet, den 
Landesbeauftragten für den Datenschutz 
über die Beauftragung von Stellen zu un- 
terrichten, die nicht unter das DSG MV 
fallen. 


1 http://www.datenschutz-mv.de/informati- 
onsfreiheit/themen/themen_eval.html. 


2 Urteil des Ersten Senats des Bundes- 
verfassungsgerichts vom 15. Dezember 
1983 / Volkszählungsurteil — 1 BvR 
209/83 u.a., in Auszügen als Anhang 3 
in: BfDI-INFO 1 Bundesdatenschutzge- 
setz - Text und Erläuterung -, Bundesbe- 
auftragter für Datenschutz und Infor- 


mationsfreiheit (Hrsg.), kann kostenlos 
bezogen werden unter: http://www.bfdi. 
bund.de/DE/Oeffentlichkeitsarbeit/Info- 
material/BfDInformationsbroschueren/ 
BfDInformationsbroschueren_node.html 


Vgl. Internetveröffentlichung über 
Empfänger von Agrarzuwendungen aus 
EU-Mitteln, Oberverwaltungsgericht für 
das Land Mecklenburg-Vorpommern 2. 
Senat, Beschluss vom 04.05.2009, 2 M 
77/09. 
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gesetz Mecklenburg-Vorpommern (DSG 
M-V), Landtag MV, Drs. 6/712 vom 
02.05.2012, S. 105 £.. 
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Sitzungen der Bezirksverordnetenver- 
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Informationsfreiheit (Hrsg.), Dokumente 
zu Datenschutz und Informationsfreiheit 
2011, S. 140 ff., http://www.datenschutz- 
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2623/95, 1 BvR 622/99 — zur Medienöf- 
fentlichkeit in Gerichtsverhandlungen. 


Gesetzentwurf der Landesregierung, Ent- 
wurf eines Gesetzes über die Kommunal- 
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kommunalrechtlicher Vorschriften, Land- 
tag MV, Drs 5/4173, S. 133. 
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schluss vom 30.08.2010, Az: 3 B 203/10, 
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privaten Rundfunkveranstalterin, die 
öffentlichen Sitzungen eines Stadt- oder 
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aufzeichnen zu dürfen, Rn 17, mit wei- 


teren Nachweisen. 


9 Siehe zum Problem von Handy-Fotos im 


Netz 5.7.2 im Zehnten Tätigkeitsbericht 
gemäß $ 33 Abs. 1 Landesdatenschutz- 
gesetz Mecklenburg-Vorpommern (DSG 
M-V), Landtag MV, Drs. 6/712 vom 
02.05.2012, S. 109 £. 
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Vorpommern (Hrsg.), Landesda- 
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Schwerin 2011, zu $ 7, S. 56. 


11 Ebenda, zu $ 7, S. 56. 
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Internet in: RDV 2013, 147 ff.; aller- 
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auf Landesdatenschutzbeauftragter Ba- 
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der Gemeindevertretung als gefährdet 
definierte Funktionsfähigkeit des Parla- 
mentes (Rn 14); 


für eine Satzungsregelung: VG Kassel 3. 
Kammer, Beschluss vom 07.02.2012 — 3 
L 109/12.KS, zur Rechtslage in Hessen; 


in der Abwägung mit der Pressefreiheit 
das datenschutzrechtliche Widerspruchs- 
recht eines einzelnen Kommunalver- 
treters ebenfalls ablehnend: OVG des 
Saarlandes 3. Senat, Beschluss vom 
30.08.2010 -— 3 B 203/10 


13 BVerwG, Beschluss vom 26.03.1985, 
Az.: 6P31/82 
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Thilo Weichert 


Prism, Tempora, Snowden ... 
Analysen und Perspektiven 


l. Wir konnten es ahnen 


Niemand hätte überrascht sein müs- 
sen: Die Mosaiksteine der Bilder 
der US-amerikanischen und der bri- 
tischen Telekommunikations- und 
Internetüberwachung, die mit den 
Begriffen „Prism“! und „Tempora‘”? 
bekannt wurden und sich mit den 
Enthüllungen des US-amerikanischen 
Whistleblowers Edward Snowden im- 
mer weiter präzisierten, sind lange be- 
kannt: Dass die National Security Agency 
(NSA) für die US-Sicherheitsbehörden 
weltweit die irgendwie erreichbaren 
Daten erfassen, weitergeben und analy- 
sieren? ebenso wie für Großbritannien 
das Government Communication 
Headquarters (GCHQ)*, war in Medien 
nachzulesen. Die Rechtsgrundlagen für 
deren Spitzelaktionen, insbesondere der 
Patriot Act und der Foreign Intelligence 
Surveillance Act (FISA) für die USA? 
sowie der Regulation of Investigatory 
Powers Act (RIPA) für Großbritannien‘, 
waren bei ihrer Verabschiedung und 
den späteren Verschärfungen und Ver- 
längerungen jeweils heiß umstrit- 
ten. Dass NSA und GCHQ riesi- 
ge Personalapparate und gewaltige 
Rechenzentren zur Verfügung haben, 
haben investigative Journalisten auch 
schon vor längerer Zeitherausgefunden.” 
Das reduzierte Datenschutzverständnis 
unserer angloamerikanischen und an- 
gelsächsischen Freunde westlich und 
östlich des Atlantiks verursacht uns 
Datenschützern schon seit Jahren gro- 
Be Bauchschmerzen.® Was mit moderner 
Speichertechnik und Big-Data-Analysen 
möglich ist, wird uns täglich von der in- 
formationstechnischen (IT-) Industrie 
in Hochglanz angepriesen.” Dass tat- 
sächlich gemacht wird, was technisch 
an Datenspeicherung und -auswertung 
möglich ist und nützlich erscheint, fürs 
Geldverdienen oder für die Sicherheit, 
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wenn niemand Unabhängiges kon- 
trolliert, das wissen zumindest erfah- 
rene Datenschützer seit mehr als drei 
Jahrzehnten. 

Unsere Befürchtung, dass von US- 
amerikanischen und britischen Sicher- 
heitsdiensten eine gewaltige Gefahr für 
das ausgeht, was das deutsche Bundes- 
verfassungsgericht im Jahr 1983 „Recht 
auf informationelle Selbstbestimmung“ 
genannt und begründet hat,!® wird 
nun durch immer mehr Details zur 
Gewissheit. Diese Rechtsprechung ist 
seit 2009 in Art. 8 der Europäischen 
Grundrechtecharte als „Grundrecht auf 
Datenschutz“ europaweit geltendes 
Verfassungsrecht und individualrechtli- 
cher Anspruch. Wir müssen dem Edward 
Snowden unendlich dankbar sein, dass er 
unsere Unsicherheit beseitigt hat, indem 
er unsere Befürchtungen bestätigte: Wir 
wissen seit seinen ersten Enthüllungen, 
dass die USA und Großbritannien von 
Hunderten Millionen, ja wohl Milliarden 
unverdächtigen Menschen sensible 
Telekommunikations- und Internetdaten 
auswerten — mit der Begründung, den 
Terrorismus zu bekämpfen. 


II. Nicht Datenschutz contra 
Sicherheit 


Wir wissen, dass die Bekämpfung 
des Terrorismus oder sonstiger ge- 
meinschädlicher Verbrechen ohne 
Missachtung unserer Grundrechte 
möglich ist. Wir wissen, dass eine der- 
artige Grundrechtsmissachtung letzt- 
lich in die Hände der Terroristen 
und Verbrecher spielt: Das deutsche 
Bundesverfassungsgericht hat entgegen 
den Empfehlungen von „Sicherheits- 
experten“ dem deutschen Gesetzgeber 
immer wieder die rote Karte gezeigt, 
nachdem dieser den Sicherheitsbehörden 
weitergehende, manchmal uferlose 
Befugnisse zuschanzen wollte: großer 


Lauschangriff, Telekommunikations- 
überwachung, KFZ-Kennzeichenerken- 
nung, Rasterfahndung, BKA-Gesetz, 
Vorratsdatenspeicherung, _Antiterror- 
dateigesetz... die Liste der geduldigen, 
jeweils gut begründeten Urteile und Er- 
mahnungen, im Namen der Sicherheit 
die Freiheit nicht über Bord zu werfen, 
ist lang. Für manche mag erstaunlich 
sein, dass trotz der Einhegung und Diszi- 
plinierung unserer Sicherheitsbehörden 
die Kriminalität und der Terrorismus in 
Deutschland erheblich geringer sind als 
etwa in den USA oder in Großbritannien. 

Was für einfache Gemüter erstaunlich 
sein mag, ist bei nüchterner Betrachtung 
logisch: Vertrauen ist eine besse- 
re Sicherheitsgrundlage als Angst und 
Kontrolle. Die Überwachung der gesam- 
ten Bevölkerung für Sicherheitszwecke 
ist unsinnig, weil die meisten Menschen 
sich im großen Ganzen ehrbar und 
rechtstreu verhalten. Menschen mit 
Überwachung zu überziehen, lässt sie 
an der Ernsthaftigkeit der gesellschaft- 
lichen, politischen und rechtlichen 
Freiheitsverbürgungen zweifeln und 
veranlasst sie, dort ihren Vorteil zu su- 
chen, wo die Überwachung nicht ganz 
so groß erscheint. 

Verhältnismäßiges Vorgehen ist ins- 
besondere im Hinblick auf unsere ge- 
sellschaftlichen Minderheiten gebo- 
ten, seien es Muslime, Angehörige 
arabischer Staaten, Schwule, politisch 
Andersdenkende oder Menschen mit 
anderer Hautfarbe oder ungewohn- 
tem Aussehen: Als ungerecht empfun- 
dene Kontrollen und Überwachung 
und damit verbundene Ausgrenzung 
sind der Nährboden für Angst und 
Aggression bei den Betroffenen. Und 
dies ist eine wesentliche Grundlage 
für Hass und Gewaltbereitschaft, bis 
hin zu terroristischem Fanatismus. 
Etwas technischer Sachverstand müss- 
te „Sicherheitsexperten“ bewusst ma- 
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chen, dass unkontrollierte Kontrollen 
und insbesondere die Totalkontrolle 
der Bevölkerung kontraproduktiv sind: 
Da diese Kontrollen nie völlig perfekt 
sein können und technische Schutz- 
maßnahmen eher von den professio- 
nellen Kriminellen als den arglosen 
Bürgern praktiziert werden, geraten au- 
Ber den Unschuldigen allenfalls krimi- 
nelle Amateure bei Rasterfahndungen 
ins Netz. Den Profis kommen wir nur 
auf die Schliche, indem wir verdachts- 
bezogen konkreten Hinweisen gezielt 
nachgehen.!' 

Das vom deutschen Bundesver- 
fassungsgericht geforderte freiheitli- 
che Verständnis von Sicherheit steht in 
diametralem Widerspruch zum Sicher- 
heitsdenken in Diktaturen oder Über- 
wachungsstaaten wie z. B. China. Es 
steht aber auch in Widerspruch zur ge- 
lebten Sicherheitspolitik der USA, die 
sich in ihrer Logik nur wenig von der 
Russlands oder Chinas unterschei- 
det. Die US-Realität ist auch möglich, 
weil es in den USA kein Grundrecht 
auf Datenschutz, also ein Grundrecht 
gegen Überwachung, gibt. Von den 
vom US-Supreme Court eingeforder- 
ten „reasonable expectations of priva- 
cy“ sind bisher Sicherheitsbehörden und 
Internetfirmen weitgehend ausgenom- 
men.!? 


III. US-Kooperation contra 
Datenschutz 


Dies hat Europa ignoriert, als es 
Kooperationsabkommen mit den USA 
abschloss, z. B. über die Weitergabe von 
Fluggast- oder Banktransaktions- oder 
sonstigen Daten an Sicherheitsbehörden, 
aber auch mit der Zulassung des trans- 
atlantischen Datentransfers zwischen 
Firmen durch Selbstzertifizierung ge- 
mäß den Safe-Harbor-Principles. Dass 
die „vernünftigen Erwartungen an 
Privatheit“ auch faktisch derart verletzt 
werden, wissen wir erst seit wenigen 
Tagen mit Gewissheit. Dadurch ist die 
Geschäftsgrundlage für die Abkommen 
zum Datenaustausch weggefallen. 
Deshalb müssen diese Abkommen hin- 
terfragt und im Zweifel gekündigt wer- 
den. Der CDU-Europaparlamentarier 
Elmar Brok meinte: „Europäer müssen 
in den USA denselben Rechtsschutz be- 
kommen wie amerikanische Staatsbürger. 
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Diese Forderung ist mit uns nicht verhan- 
delbar“.'” Die Konferenz der deutschen 
Datenschutzbeauftragten des Bundes 
und der Länder wies darauf hin, dass die 
von der EU-Kommission festgelegten 
Grundsätze des „sicheren Hafens“ (Safe 
Harbor) zum Datentransfer in die USA 
(2000) und zu Standardvertragsklauseln 
zum Datentransfer auch in andere 
Drittstaaten (2004 und 2010) nur gel- 
ten können, wenn die Empfänger ei- 
nem angemessenen Datenschutzniveau 
unterliegen. Ein Aussetzen der Daten- 
übermittlungen sei möglich, wenn eine 
„hohe Wahrscheinlichkeit“ besteht, 
dass die Safe-Harbor-Grundsätze oder 
Standardvertragsklauseln verletzt sind. 
Dies sei nun der Fall.'* Damit setzten 
sie sich von ihrem irischen Kollegen ab, 
der auch nach Bekanntwerden der NSA- 
Zugriffe auf Daten von Facebook und 
Apple keinen Anlass zum Tätigwerden 
sah und sieht." 

Neue Abkommen, etwa über eine trans- 
atlantische Freihandelszone, sind ohne 
die Gewährleistung von Datenschutz in 
den USA angesichts der expandieren- 
den Informationswirtschaft nicht denk- 
bar. Wenn europäische Politiker mei- 
nen, sich ökonomisch den Wanst füllen 
zu können, ohne sich dabei zugleich mit 
der US-amerikanische Krankheit der 
Datenschutzverweigerung zu infizieren, 
betreiben sie Selbst- und Fremdbetrug. 

Die Datenschutzignoranz von US- 
Regierung und US-Industrie verfolgt 
zwei Ziele: die Erhaltung der globalen 
sicherheitspolitischen Dominanz und 
die Bewahrung der Dominanz von US- 
Informationstechnikunternehmen auf 
dem Weltmarkt. Diese Ignoranz bzw. 
dieses Verleugnen wird in den USA lei- 
der im Einverständnis von Republikanern 
und Mehrheitsdemokraten gegen eine 
aktive Bürgerrechtsopposition durchge- 
setzt. In dieser Opposition hat Europa 
mit seinem Grundrechtsverständnis vie- 
le natürliche Verbündete. Doch die- 
se Bürgerrechtsopposition hat einen 
ungemein schwereren Job als die Daten- 
schützer in Europa: Seit über 50 Jahren 
kämpfen sie für „Privacy and Freedom“ - 
bisher ohne nachhaltigen Erfolg.'‘ 


IV. Edward Snowden 


Die Doppelmoral des Vorgangs um 
Prism und Tempora zeigt sich am offen- 


sichtlichsten am Umgang mit Edward 
Snowden. Es ist eine Bankrotterklärung 
der westlichen Gesellschaften, die sich 
demokratisch und freiheitlich bezeich- 
nen, dass Snowden erst in China und 
dann in Russland Schutz suchen muss 
und findet. Es ist erschreckend, mit 
welcher Vehemenz die US-Regierung 
auf alle Staaten Druck ausübt, die in 
Frage kommen, Asyl zu gewähren, um 
eines „Verräters“ habhaft zu werden, 
nicht eines Menschen mit dem Ziel der 
Verwirklichung von Freiheitsrechte und 
demokratischer Transparenz. Snowden 
achtete sorgsam und bisher erfolgreich 
darauf, dass durch seine Offenlegung 
keine Menschen Schaden erleiden. 
Derweil veranlassen die USA die 
Zwischenlandung und Durchsuchung 
des Flugzeugs des bolivianischen 
Präsidenten Evo Morales in Wien ge- 
mäß dem erklärten Motto: „Wir jagen 
Snowden bis ans Ende der Welt und füh- 
ren ihn seiner Bestrafung zu“.!’ Diese 
Verfolgung ist politische Verfolgung, 
für die gemäß Art. 16a Abs. 1 GG in 
Deutschland Schutz gewährt werden 
muss. Die Bundesregierung ignoriert 
auch dieses Grundrecht und verweigert 
die Einreise. Damit begibt sie sich der 
großen Chance, weitere Informationen 
zu erlangen, mit denen die USA zu ei- 
nem Einlenken in Sachen Datenschutz 
veranlasst werden kann. Während 
Deutschland die Chance verspielt, mit 
einer Aufnahme Snowdens, die von 
ihm erbeten wurde, ein klares Zeichen 
zu setzen, ist dieser dem politischen 
Kalkül von Staaten ausgeliefert, deren 
Gesellschaftsordnung nicht mit seinen 
- vom europäischen Verfassungsrecht 
geschützten -— Beweggründen und 
Werten in Einklang stehen.'® Die frei- 
heitliche Bankrotterklärung erfolgte, 
als US-Justizminister Eric Holder am 
26.07.2013 erklärte, Snowden müsse in 
den USA keine Todesstrafe und keine 
Folter befürchten." 


V. Der Beginn einer langen 
Auseinandersetzung 


Was ist zu tun? Zweifellos müssen die 
Sachverhalte weiter aufgeklärt werden, 
und zwar nicht hinter verschlossenen 
Türen, sondern öffentlich. Hierin kann 
und darf aber nicht der Schwerpunkt lie- 
gen.DasInfragestellenundimZweifeldas 
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Aufkündigen von grundrechtlich nicht 
akzeptablen Datenaustauschabkommen 
muss der nächste Schritt sein. Zur recht- 
lichen Aufarbeitung gehört auch, die 
straf-, zivil- und vor allem die freiheits- 
rechtliche Verantwortlichkeit von han- 
delnden Personen und Institutionen 
zu untersuchen. Sollte die ceuropä- 
ische Justiz der „Täter“ mit Sitz in den 
USA nicht so leicht habhaft werden, 
die britischen Verantwortlichen für die 
Aktivitäten des GCHQ unterliegen eu- 
ropäischem Recht, das durch die na- 
tionalen Regierungen, das Europäische 
Parlament, den Rat und die Kommission 
der EU eingefordert werden muss und 
vor dem Europäischen Gerichtshof in 
Luxemburg sowie dem Europäischen 
Menschenrechtsgerichtshof in Straßburg 
durchgesetzt werden kann. 

Die selbstverständlichste Reaktion 
Europas sollte es sein, die US-amerika- 
nischen Datensauger a la Google, 
Facebook, Apple, Amazon u. a. zumin- 
dest soweit zur Beachtung des europä- 
ischen Rechts zu zwingen, wie diese in 
Europa aktiv sind. Hierzu können die 
Verbraucherinnen und Verbraucher einen 
wichtigen Beitrag leisten. Sie sollten den 
Unternehmen klar machen, dass sie sich 
zwischen zwei Alternativen entscheiden 
können: die informationelle Ausbeutung 
und Fremdbestimmung der europäischen 
Verbraucherinnen und Verbraucher be- 
enden und den Datenschutz zu beachten 
— oder vom Markt zu verschwinden. 

Selbstdatenschutz ist _ wichtiger 
denn je. Grundprinzipien sind hier- 
bei Datenvermeidung und Datenspar- 
samkeit, also so wenige Daten im 
Netz zu hinterlassen wie irgend mög- 
lich: Nutzung datensparsamer Internet- 
angebote ohne Datenspuren zu hinter- 
lassen, bei Suchmaschinen z. B. des 
als datenschutzkonform zertifizierten 
Ixquick/Startpage. Beim Surfen kön- 
nen Anonymisierungsdienste verwendet 
werden. Das deutsche Telemediengesetz 
erlaubt ausdrücklich — entgegen der 
Praxis von US-Firmen — Pseudonyme 
statt Klarnamen. Durch Verwendung 
mehrerer Browser, mehrerer E-Mail- 
Accounts oder mehrerer sonstiger 
Identitäten wird eine Profilbildung er- 
schwert. Bei der Datenspeicherung - je- 
denfalls in der Cloud — und bei sensiblen 
E-Mails sollten die Daten verschlüs- 
selt werden. Tracking-Blocker und das 
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Löschen von Cookies im Browser er- 
schweren das Tracking. Wenn es bei 
den Browsereinstellungen schon kein 
„Privacy by Default“ gibt, dann soll- 
ten diese gemäß den individuellen 
Datenschutzwünschen verändert wer- 
den. 

Bei der Auswahl von Internetdiensten 
sind europäische und deutsche Angebote 
den Angeboten aus Drittländern, insbe- 
sondere aus den USA, vorzuziehen, 
weil dann sicher europäisches Daten- 
schutzrecht anwendbar ist. Auch bzgl. 
britischer Anbieter ist größere Vorsicht 
und Zurückhaltung geboten. Daten- 
schutzbewusstes Verbraucherverhalten 
im Internet wird von den Betreibern re- 
gistriert und eröffnet die Chance, dass 
sich über den Wettbewerb datenschutz- 
konforme Produkte durchsetzen.” 

Der Kampfum eine demokratische und 
freiheitliche Informationsgesellschaft ist 
noch lange nicht verloren. Dieser Kampf 
hat gerade erst begonnen. Bei diesem 
globalen Kampf stehen uns moderne au- 
toritäre Staaten wie Russland und China 
gegenüber. Die USA müssen sich ent- 
scheiden, auf welcher Seite sie stehen. 
Wir sollten uns darauf einstellen, eine 
lange Auseinandersetzung zu führen. 
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NSA und Snowden... 


Geleitwort von Johannes Caspar zur Demonstration „Stop watching us“ am 27.7.2013 in Hamburg 


Seit der Veröffentlichung der ersten 
Enthüllungen durch Edward Snowden 
Anfang Juni sind mittlerweile mehr als 
7 Wochen vergangen. Was ist in dieser 
Zeit eigentlich geschehen? 

Statt Aufklärung durch die verant- 
wortlichen Stellen hat sich, was als 
Überwachungsskandal begann, zu einer 
Krise der demokratischen Rechts- und 
Verfassungsstaatlichkeit ausgeweitet. 
Verantwortliche Stellen in den USA blei- 
ben angesichts der Enthüllungen sprach- 
los, aber auch die Bundesregierung sowie 
die Europäische Kommission, die sich 
schützend vor die digitalen Grundrechte 
der Bürger stellen sollten, haben bis- 
her zur Aufklärung der Vorwürfe nicht 
beigetragen. Stattdessen werden immer 
neue Verstrickungen in das System flä- 
chendeckender Überwachung bekannt. 
Der britische Geheimdienst nimmt un- 
ter dem Codewort Tempora eine mas- 
sive flächendeckende Überwachung 
der Telekommunikation und des Inter- 
netdatenverkehrs in Europa vor. 
Mittlerweile erreichen die Meldungen 
über die Ausspähungen auch das 
Bundeskanzleramt: Die deutschen 
Geheimdienste BND und Verfassungs- 
schutz setzen offenbar die Software 
XKeyScore ein. Ein Instrument der 
NSA, mit dem immerhin 180 Millionen 
der 500 Millionen Datensätze, die allein 
im Dezember 2012 gespeichert wurden, 
erfasst worden sein sollen. Man möchte 
gar nicht wissen, was noch alles an das 
Tageslicht drängt. 

In diesem Sommer muss man Angst 
haben um die Privatsphäre der freien 


Welt. Die digitalen Techniken haben uns 
angreifbarer gemacht. Die Schutzhülle 
der Grundrechte erweist sich gegen- 
über der massiven Ausspähung durch 
Geheimdienstealsunerwartetverletzlich. 
Rechts- und Verfassungsstaatlichkeit 
sind in massiver Weise in Frage gestellt. 
Die Versuche, sie wieder herzustellen, 
waren bislang eher halbherzig und re- 
signativ. Sie haben nicht einmal die 
Klärung gebracht, die unabdingbar ist, 
um das systematische Ausspionieren in 
seiner ganzen Dimension zu begreifen. 
Fast ist es, als habe uns dieser Sommer 
brutal vor Augen geführt, dass wir lan- 
ge mit einer Illusion lebten: der Illusion, 
dass die Freiheit der digitalen Welt sich 
in freien Gesellschaften nicht gegen die 
Freiheit selbst kehren kann. 

Die demokratischen Verfassungs- 
staaten stehen derzeit vor einer Heraus- 
forderung historischer Dimension. Wir 
befinden uns in einer Vertrauenskrise des 
auf die Geltung von Grundrechten ange- 
legten Rechts- und Verfassungsstaats. 
Was wir gegenwärtig erleben istnicht nur 
ein Skandal, der sich durch das gewöhn- 
liche Instrumentarium parlamentari- 
scher Untersuchungsausschüsse, öffent- 
licher Diskurse und möglicherweise 
der Anrufung des Bundesverfassungs- 
gerichts hinlänglich aufarbeiten ließe. 
Qualitativ wie auch quantitativ erwei- 
sen sich die Anstrengungen staatlicher 
Stellen, die Datenwelt des Einzelnen 
vollständig zu überwachen, als ein un- 
mittelbarer Angriff auf das Rückgrat 
des Systems der Grundrechte. Das 
Besondere daran: Es handelt sich um ei- 


Jetzt DVD-Mitglied werden: 


nen Angriff von innen. Geführt wird er 
in einer Haltung, die die Sicherheit über 
die Werte der Freiheit und Transparenz 
offener Gesellschaften stellt und die 
sich als Verfassungsziel selbst legiti- 
miert. Derzeit ist nicht abzusehen, wel- 
chen Ausgang das Ringen um die di- 
gitalen Grundrechte haben wird. Klar 
ist: Sicherheit ohne Freiheit ist das 
Ende des Entwurfs des demokratischen 
Verfassungsstaats. 

Sieben Wochen nach der ersten 
Enthüllung bleibt auch die Erkenntnis: 
Dass wir uns an all das gewöh- 
nen, darf niemals eintreten! Wir wer- 
den sonst Schritt für Schritt zu digita- 
len Untertanen, die sich im Namen der 
Sicherheit anlasslos ausforschen las- 
sen, denn sie haben ja nichts zu verber- 
gen. Am Ende aber steht ein kollektiver 
Verlust der Freiheit. Wenn das staatli- 
che System der Ausforschung unseres 
Privatlebens keine weitergehenden nega- 
tiven Konsequenzen für die meisten von 
uns nach sich zieht und wenn die anlas- 
slose Speicherung der Daten der Bürger 
am Ende nicht das filigrane Gefüge de- 
mokratischer Rechtsstaatlichkeit kolla- 
bieren lässt, dann haben wir nur Glück 
gehabt. 

Es ist an uns allen, eine freiheitliche 
Welt der Kommunikation und Infor- 
mation bei der Politik einzufordern. Es 
gilt daher für jeden, sich dafür einzuset- 
zen, dass das, was jetzt im Sommer 2013 
wie ein böser Traum erscheinen mag, 
nicht als eine Realität zu akzeptieren, in 
der wir künftig leben wollen. 


www.datenschutzverein.de 
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Pressemitteilung vom 14. August 2013 


Erste weltweit koordinierte Zusammenarbeit der 
Aufsichtsbehörden bringt erhebliche Defizite im 
Datenschutz ans Licht 


Zum ersten Mal haben in diesem 
Jahr neunzehn Datenschutzaufsichts- 
behörden aus aller Welt im Rahmen des 
„Global Privacy Enforcement Networks“ 
(GPEN) zusammengearbeitet und in ih- 
ren jeweiligen Ländern untersucht, ob 
Unternehmen und Daten verarbeiten- 
de Stellen bei Internetseiten und mo- 
bilen Applikationen ein transparentes 
Verhalten gegenüber ihren Kunden zei- 
gen. Den Anstoß dazu gab eine Initiative 
der Datenschutzbehörde Kanadas. 

Der Bundesbeauftragte für den 
Datenschutzunddielnformationsfreiheit, 
Peter Schaar, erklärt hierzu: „Es ist das 
erste Mal, dass sich im Rahmen die- 
ser gemeinsamen Aktion fast zwanzig 
Datenschutzbehörden zusammen gefun- 
den haben, um weltweit die Transparenz 
und Offenheit der Datenverarbeitung zu 
untersuchen. Die Prüfungen, die meine 
Mitarbeiter bei E-Mail- und Postdiensten 


durchgeführt haben, haben im Ergebnis 
gezeigt, dass sie die datenschutzrecht- 
lichen Vorgaben ernst nehmen und ent- 
sprechend umsetzen.“ 

Insgesamt wurden weltweit mehr 
als 2.200 Internet-Seiten und mo- 
bile Applikationen untersucht. Die 
Auswertung der weltweiten Ergeb- 
nisse hat erbracht, dass hiervon 23 
% überhaupt keine Information zur 
Verarbeitung personenbezogener Daten 
ihrer Kunden bereitstellen. Insgesamt 
fanden die Aufsichtsbehörden bei rund 
50 % aller untersuchten Internet-Seiten 
einen oder mehrere Mängel bezüg- 
lich Relevanz und Verständlichkeit der 
Information oder im Hinblick auf die 
Erreichbarkeit der verantwortlichen 
Stelle (Kontaktdaten) für mögliche 
Nachfragen oder Beschwerden durch 
deren Nutzer. Frappierend war aller- 
dings, dass die Mängelrate bei mobilen 


Applikationen mit 90 % erheblich hö- 
her lag als bei Internet-Seiten. 

Die genauen Ergebnisse der koor- 
dinierten Untersuchung der neunzehn 
Datenschutzbehörden sollen im Rahmen 
der 35. Internationalen Konferenz der 
Datenschutzbeauftragten vom 23.-26. 
September 2013 in Warschau vorgestellt 
werden. Unter den neunzehn beteiligten 
Behörden sind sechs aus Deutschland. 

Für 2014 ist bereits eine weitere ge- 
meinsame Aktion des GPEN zu einem 
anderen Aspekt des Datenschutzes ge- 
plant. 


Pressestelle des Bundesbeauftragten 
für den Datenschutz und die Infor- 
mationsfreiheit (BfDI) 


Liebe Freunde und Abonnenten der Datenschutz Nachrichten 


Was wird sich im Jahr 2014 an der Arbeit der DVD und bei den 


Datenschutz Nachrichten ändern? 


Hoffentlich werden die gegenwärtigen Datenschutz-Debatten die Aktualität und Dringlichkeit bür- 
gerrechtlicher Standpunkte dermaßen unterstreichen, dass viele neue Mitstreiter unsere Stimme in der 
Öffentlichkeit noch stärker und hörbarer werden lassen. Bestimmt werden auch die Datenschutz 
Nachrichten weiter als fachlich und bürgerrechtlich orientierte Diskussions- und Informations- 
plattform über unseren Verein hinaus Bedeutung behalten. Bedauerlicherweise haben sich trotz aus- 
schließlich ehrenamtlich arbeitender Redakteure und Autoren sowie vieler wirksamer Maßnahmen 
die Druck- und Versandkosten aber auch weiter entwickelt. Deshalb werden die Datenschutz 
Nachrichten ab dem Heft 1/2014 in gewohnter Qualität für 12 Euro zuzüglich Porto für ein 
Einzelheft, 42 Euro inklusive Porto für ein Abonnement im Inland und 52 Euro inklusive Porto für 
ein Auslands-Abo viermal im Jahr in Ihren bzw. Euren Briefkästen für fundierte und unabhängige 


Informationen sorgen. 


DANA » Datenschutz Nachrichten 3/2013 


113 


Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


Brief- und Paketdaten 
sind in Deutschland 
(begrenzt) geschützt 


Als bekannt wurde, dass in den USA 
aus Sicherheitsgründen umfassend 
Metadaten von Postsendungen er- 
fasst und gespeichert werden (s. u. S. 
127), stellte sich die Frage, ob es eine 
derartige Praxis auch in Deutschland 
gibt. Tatsächlich scannt die Deutsche 
Post Angaben zu Briefen. Erfasst wer- 
den nach Postangaben nur die Adresse 
des Empfängers und die Freimachung. 
Diese Daten werden drei Tage lang ge- 
speichert. Der Name des Empfängers 
sowie Angaben zum Absender würden 
nicht erfasst. Der aufgedruckte oran- 
gefarbene Barcode auf den Briefen 
enthält Angaben zur Empfangsadresse. 
Eine eindeutige Kennung bekom- 
men normale Briefe im Gegensatz zu 
Einschreiben oder Paketsendungen 
aber nicht. 

Mit Hilfe der drei Tage gespeicherten 
Daten könne man das Briefzentrum er- 
mitteln, indem die Adresse erfasstwurde, 
teiltdie Post mit. In Deutschlandseien das 
mehr als 80 Zentren, für den Großraum 
Hamburg gibt es zum Beispiel zwei sol- 
cher Einrichtungen. Damit Ermittler auf 
diese Daten zugreifen können, brau- 
chen sie einen Gerichtsbeschluss. Das 
Postgeheimnis stellt in Deutschland of- 
fenbar eine Hürde für Ermittler dar, die 
Datensparsamkeit der Post dürfte außer- 
dem dazu führen, dass die Daten nicht 
von all zu großem Interesse sind. Auch 
Verfassungsschutz, Militärgeheimdienst 
und Bundesnachrichtendienst kön- 
nen auf Daten zugreifen, wenn es um 
die Sicherheit der Bundesrepublik 
geht; Details regeln das Gesetz zur 
Beschränkung des Brief-, Post- und 
Fernmeldegeheimnisses sowie die 
Sicherheits- und Geheimdienstgesetze. 
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Bei Sendungen von Deutschland 
in die USA sieht es mit den Daten et- 
was anders aus: Zu Testzwecken wer- 
den die Daten von Paketsendungen von 
Geschäftskunden an die International 
Post Corporation (IPC) in Brüssel 
übermittelt. Davon erhoffen sich — ge- 
mäß Postangaben — die teilnehmen- 
den Unternehmen aus derzeit 24 
Industriestaaten eine Vereinfachung 
der Zollabfertigung. Auf diese Daten 
hat auch die US-Post Zugriff. An 
die Projektdatenbank der IPC wer- 
den, so die Post, rein warenbezoge- 
ne Daten übermittelt, wie Gewicht 
und Warenbezeichnung, nicht jedoch 
personenbezogene Daten. Nach dem 
Grenzübertritt in die USA allerdings 
werden diese von der dortigen Post wei- 
tertransportiert — und vermutlich auch 
erfasst. 

Express-Sendungen unterliegen be- 
sonderen Regeln. Sie werden nicht über 
das internationale Postsystem übertra- 
gen, sondern gelten als Frachtgüter. Die 
Sendungsdaten, Empfänger, Absender 
und Inhalt der Sendung, müssen der 
Grenzbehörde Customs and Border 
Protection seit 2004 vorab elektro- 
nisch übermittelt werden. Geregelt wird 
das über ein Handelsabkommen, die 
Öffentlichkeit erfuhr davon erst Jahre 
später (Reißmann, Deutsche Post erfasst 
nur Adressen, keine Namen, www.spie- 
gel.de 08.07.2013). 


Bund 


Studie zum 
Cybermobbing 


Gemäß einer Studie „Cyberlife - 
Spannungsfeld zwischen Faszination 
und Gefahr“ des Bündnisses gegen 
Cybermobbing und der Versicherung 
ARAG sind ca. 17% der SchülerInnen 
in Deutschland schon Opfer von 
Cybermobbinggeworden. 19%bekennen 


sich als TäterInnen. Die am 16.05.2013 
in Köln vorgestellte Untersuchung erhebt 
keinen Anspruch auf Repräsentativität; 
sie ist aber die bislang umfassendste 
Studie zum Thema. Federführend be- 
arbeitet wurde die Untersuchung von 
der Soziologin und Sozialpsychologin 
Catarina Katzer. Befragt wurden mehr 
als 10.000 Personen — SchülerInnen, 
Eltern und Lehrkräfte. Die Ergebnisse 
zeigen, wie verbreitet Mobbing im vir- 
tuellen Raum ist, und machen deutlich, 
wie hilflos Eltern und Lehrkräfte dem 
Problem gegenüberstehen. Zwischen 
12 und 15 Jahren treten demnach die 
meisten Fälle von Cybermobbing auf. 
Mädchen werden häufiger Ziel virtuel- 
ler Anfeindungen als Jungen. 

Uwe Leest, Vorstandsvorsitzender 
des Bündnisses erläuterte. „Das Internet 
zieht immer mehr Störenfriede, Mobber, 
Sexualtäter und jene Personen an, die 
kriminelle Absichten hegen.“ Kinder sei- 
en besonders davon betroffen, da sie in 
einem multimedialen Zeitalter aufwach- 
sen — ohne ausreichend darauf vorberei- 
tet zu sein. Daher würden Forschung, 
Aufklärung und Präventionsarbeit „im- 
mer wichtiger, um das Phänomen Cyber- 
mobbing in den Griff zu bekommen“. 

Die meisten Fälle treten an 
Berufsschulen, Hauptschulen (in Bayern 
Mittelschulen) und Realschulen auf. 
Gymnasien sind seltener betroffen. Über 
alle Schularten hinweg ist die Prävention 
von Cybermobbing mangelhaft, wo- 
bei mit Aufklärungsarbeit und einer 
Sensibilisierung wichtige Schritte gelei- 
stet werden können, um dem Problem 
entgegenzutreten. Der größte Teil der 
für Cybermobbing Verantwortlichen 
stammt aus dem sozialen Umfeld der 
Schule. Als Gründe werden vorran- 
gig Langeweile und Spaß angegeben. 
Am häufigsten leiden SchülerInnen un- 
ter Beschimpfungen, Hänseleien und 
Lügen. Neben diesen „klassischen“ 
Formen des Mobbings machen sich die 
TäterInnen die Eigenschaften von sozi- 
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alen Netzwerken und Internetplattformen 
zunutze. So werden peinliche Bilder und 
Videos ohne Zustimmung veröffentlicht. 
Derartige Übergriffe haben eine beson- 
dere Wirkung, weil das „Cyberlife“ für 
junge Menschen eine immer größere 
Rolle spielt, so die Studie: „Die Täter 
kommen bis ins Kinderzimmer und die 
Opfer können sich kaum entziehen. 
Internet und Facebook sind überall“. 
Mehr als 80% der SchülerInnen haben 
einen eigenen Computer im Zimmer, 
67% besitzen zudem ein internetfähiges 
Smartphone. Gegenüber traditionellem 
Mobbing an der Schule hat das Opfer 
keine Chance zu entkommen. Daher sei 
auch die Traumatisierung der Opfer bei 
dieser Form des Mobbings stärker: Mehr 
als ein Fünftel der Cybermobbing-Opfer 
fühlt sich durch die Attacken dauerhaft 
belastet. Eltern und Lehrkräfte bekom- 
men die Nachstellungen im Netz häufig 
überhaupt nicht mit und fühlen sich nicht 
ausreichend über das Thema informiert. 
Nur 17% der Eltern überprüfen, was ihre 
Kinder im Internet machen. Lediglich 
6% der befragten Eltern geben an, ihre 
Kinder regelmäßig beim Surfen im Netz 
zu begleiten. Diese mangelnde Kontrolle 
begründet knapp die Hälfte damit, sich 
zu wenig auszukennen. Und 57% der 
Eltern bestätigt, dass ihre Kinder mitdem 
Internet professioneller agieren als sie 
selbst. Fast 90% der Lehrkräfte berich- 
tet, bereits Cybermobbingfälle unter ih- 
ren Schülern erlebt zu haben (Bruckner, 
Psychoterror im Netz, SZ 17.05.2013, 
6; Stolzenbach, Tatort Facebook, /www. 
ksta.de 16.05.2013;). http://www.buend- 
nis-gegen-cybermobbing.de/studie/cy- 
bermobbingstudie.pdf). 


Bund 
Visa-Warndatei in Betrieb 


Das Bundesverwaltungsamt (BVA) 
hat Anfang Juni 2013 die Visa-Warndatei 
in Betrieb genommen: Sie soll die 
Visumbehörden bei ihrer Arbeit unter- 
stützen und die Entscheidung über die 
Erteilung eines Visums auf eine breite- 
re Grundlage stellen. Der Zugriff von 
Sicherheitsbehörden auf die Daten ist 
grundsätzlich nicht vorgesehen. Eine 
Ausnahme gilt für die mit der polizei- 
lichen Kontrolle des grenzübergreifen- 


DANA » Datenschutz Nachrichten 2/2013 


den Verkehrs beauftragten Behörden 
für die Erteilung von Ausnahmevisa 
und Rücknahme von Visa an den 
Grenzen. In der Datei gespeichert wer- 
den Visumantragsteller, Einlader, Ver- 
pflichtungsgeber und sonstige Referenz- 
personen, die mit Verurteilungen wegen 
bestimmter Straftaten mit Bezug zum 
Visumverfahren oder mit sonstigem 
Auslandsbezug oder mit konkreten son- 
stigen rechtswidrigen Verhaltensweisen 
wie insbesondere falschen Angaben im 
Visumverfahren aufgefallen sind. 

Zeitgleich mit der Inbetriebnahme der 
Visa-Warndatei wurde ein Verfahren 
für einen Abgleich von bestimmten 
Daten aus dem Visumverfahren für 
Sicherheitszwecke gestartet. In diesem 
Datenabgleichverfahren werden in einer 
eigenen Organisationseinheit beim BVA 
Daten aus dem Visumverfahren mit be- 
stimmten Daten aus der Antiterrordatei 
(ATD) automatisiert abgeglichen. Durch 
den automatisierten Abgleich wird eine 
RückmeldungdurchSicherheitsbehörden 
an die Visumbehörden ermöglicht, 
wenn Personen, die dem vom ATD 
dem terroristischen Umfeld zugerech- 
net werden, nach Deutschland einzu- 
reisen versuchen. Auf diese Weise soll 
den sicherheitspolitischen Interessen 
im Visumverfahren Rechnung getragen 
werden (Bundesministerium des Innern, 
PM 05.06.2013, Visa-Warndatei nimmt 
Betrieb auf). 


Bund/Länder 


Polizei ermittelt 
Autobahnschützen 
mit Kfz-Kennzeichen- 
erfassung und Funk- 
zellenkontrolle 


Eine Serie von Schüssen auf deut- 
schen Autobahnen ist mithilfe monate- 
langer und millionenfacher Kennzeichen- 
Erfassung aufgeklärt worden. Der 
Präsident des Bundeskriminalamtes 
(BKA), Jörg Ziercke, teilte mit, dass 
der am 23.06.2013 verhaftete mutmaß- 
liche Autobahnschütze mindestens 762 
Mal auf andere Lastwagen geschos- 
sen hat, meist auf Autotransporter. Er 
habe die Taten weitgehend gestan- 
den und als Motiv „Frust und Ärger im 


Straßenverkehr“ angegeben. Die Serie 
begann 2008. Die Ermittler verstärk- 
ten ihren Ermittlungsaufwand, als am 
10.11.2009 bei Schüssen auf der A3 bei 
Würzburg eine Autofahrern am Hals 
getroffen und schwer verletzt worden 
war. Durch Vermessen des Tatortes und 
Berechnung des Schusswinkels war klar, 
dass die Kugel von oben eingeschlagen 
und offenbar aus einem hohen Fahrzeug 
im Gegenverkehr abgefeuert worden war. 
Die Ermittler ließen alle Handys feststel- 
len, die zur Tatzeit eingebucht waren. Mal 
pausierte der Schütze wochenlang, mal 
feuerte er Dutzende Schüsse an einem Tag 
ab. Die Ermittler ließen mehr als tausend 
Fahndungsplakate drucken und lob- 
ten eine Belohnung aus. Der Einsatz 
eines polizeilichen Lastwagens vol- 
ler Überwachungselektronik war er- 
gebnislos. Im September 2012 wur- 
de eine „Besondere Aufbauorganisation 
Transporter“ beim BKA eingerichtet. 
Zeitweise sollen hundert Beamte mit 
dem Fall befasst gewesen sein. Es wur- 
den Geräte zur Kennzeichenerfassung 
gemietet. Diese seien, so das BKA, 
an sieben Autobahnabschnitten von 
Aachen Richtung Bayern und Baden- 
Württemberg eingesetzt worden. Wenn 
Lastwagen beschossen wurden, seien 
deren Bewegungsdaten mit denen ande- 
rer Wagen auf der Strecke in Verbindung 
gebracht worden. Wenn keine Schüsse 
gemeldet wurden, seien die Daten nach 
zehn Tagen ungelesen gelöscht worden. 
Im April 2013 führte die Maßnahme zum 
Erfolg: Innerhalb von 5 Tagen waren 6 
Schüsse auf Lastwagen gemeldet wor- 
den. Hieraus wurden wahrscheinliche 
Fahrtstrecken und Tatorte rekonstruiert. 
Es wurde ein Zeitraum von 18 Minuten 
herausgefiltert, innerhalb derer der Täter 
an einer der Kennzeichenkameras vor- 
beigefahren sein musste. So fanden die 
Fahnder genau einen Lkw einer Spedition 
in Monschau in der Eifel (Nordrhein- 
Westfalen), der es zeitlich geschafft hätte, 
auch an den anderen Tatorten aus dieser 
Woche zu sein. Die Überwachungsbilder 
wurden ausgewertet. Zudem sei überprüft 
worden, ob dessen Handy zu den fragli- 
chen Zeiten in Funkzellen entlang der 
Autobahn eingeloggt war. 

Bei dem verhafteten 57 Jahre alten 
Lkw-Fahrer seien zwei Pistolen und 
ein Schießkugelschreiber sicherge- 
stellt worden, sagte Ziercke. Man habe 
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noch 1.300 Schuss Munition gefunden. 
Der Würzburger Staatsanwalt Dietrich 
Geuder kündigte an, der 57-Jährige wer- 
de sich unter anderem wegen versuchten 
Totschlags verantworten müssen. Vor 
einigen Jahren soll ein Autotransporter 
den Lkw-Fahrer geschnitten und bei- 
nahe einen Unfall verursacht ha- 
ben. Der mutmaßliche Schütze, ein 
„frustrierter Einzelgänger mit einem 
Hass auf andere Menschen und einer 
Affinität zu Waffen“, habe von einem 
„Krieg“ auf deutschen Autobahnen ge- 
sprochen. Seine Taten sehe er als eine 
Art Selbstjustiz an. Er habe stets nur 
Gegenstände beschädigen, nie jemanden 
verletzen wollen, soll der Verdächtige 
gesagt haben. 

Bayerns Innenminister Joachim 
Herrmann (CSU) lobte den Fahndungs- 
erfolg. Bundesinnenminister Hans-Peter 
Friedrich dankte dem BKA und sieht in 
der Überführung des Täters einen Erfolg 
länderübergreifender Zusammenarbeit 
des BKAs mit den Polizeien in 
Baden-Württemberg, Bayern, Hessen, 
Nordrhein-Westfalen und Rheinland- 
Pfalz. Der Vorsitzende der Deutschen 


Polizeigewerkschaft, Rainer Wendt, 
sprach von einer „kriminologischen 
Meisterleistung“. 

Der rheinland-pfälzische Daten- 


schutzbeauftragte Edgar Wagner hält 
den längerfristigen Einsatz von Kenn- 
zeichen-Lesegeräten entlang gan- 
zer Autobahnabschnitte dagegen für 
zweifelhaft. Es gebe „für diese bun- 
desweit erstmals eingesetzte Ermitt- 
lungsmethode aus Datenschutzsicht 
keine hinreichende gesetzliche Er- 
mächtigungsgrundlage.“ Ziercke wies 
den Vorwurf zurück, die Ermittler sei- 
en unverhältnismäßig vorgegangen: 
„Es gab keine unkontrollierte Daten- 
sammelei. Wir haben die berühmte 
Nadel im Heuhaufen gefunden.“ Die 
Tatserie hätte mit Hilfe der Autobahn- 
Mautdaten früher beendet werden kön- 
nen. Gemäß Ziercke hat die Polizei mit 
großem Aufwand Daten sammeln müs- 
sen, die eigentlich bei der Lkw-Maut 
Toll Collect vorlägen: „In bestimmten 
Einzelfällen wäre es angemessen, die- 
se Daten zu nutzen. Dafür müssten die 
Gesetze geändert werden. Ich möchte 
mal den Datenschützer sehen, der mit 
der Begründung, wir hätten das nicht 
zur Gefahrenabwehr nutzen dürfen, ir- 
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gendjemanden überzeugen würde.“ Toll 
Collect erfasst mit rund 300 Anlagen die 
Kennzeichen von LKWs zu Zwecken 
der Gebührenabrechnung, wies aber die 
Anfragen der Ermittler ab. 

Wagner lobte die Löschung der 
Kennzeichendaten nach 10 Tagen, kri- 
tisierte aber im Grundsatz die gesam- 
te Maßnahme: „Millionen von un- 
verdächtigen Personen geraten ins 
Visier der Ermittlungsbehörde, um ei- 
nen Verdächtigen zu überführen.“ 
Seinen Berechnungen nach wurden 
seit Dezember 60 bis 80 Millionen 
Datensätze unverdächtiger Menschen 
erfasst. Er bestätigte, dass die Ermittler 
ihn vorher über den neuen Ansatz in- 
formiert haben. Er habe Bedenken ge- 
äußert, deshalb sei die Zehn-Tage- 
Regelung vereinbart worden. Er habe 
über den Vorgang auch in Ausschüssen 
des rheinland-pfälzischen Landtags 
berichtet (Datenschützer kritisieren 
Methode der Sniper-Fahndung, www. 
zeit.de 25.06.2013; Jekat, Lkw-Fahrer 
schoss aus Frust im Straßenverkehr, 
www.sueddeutsche.de 25.06.2013; 
PE BMI 25.06.2013; Martin-Jung/ 
Schneider, Jedes Kennzeichen im Visier, 
SZ 26.06.2013, 10; Ulrich, Der Frust des 
Fahrers, Der Spiegel 27/2013, 39). 


Bayern 


Fragwürdige polizeiliche 
Handyauswertung 


Die Münchner Polizei muss sich in 
einem Fall wegen der umfangreichen 
Auswertung eines Handys einer 23-jäh- 
rigen Frau rechtfertigen, die zuvor in 
einer Haftzelle geschlagen und schwer 
verletzt worden war. Das Handy wurde 
beschlagnahmt, um die Daten darauf hin 
auszuwerten, ob die Frau Kontakte in die 
Drogenszene hatte. Zusätzlich suchte die 
Polizei nach Kontakten zu den Medien. 
So wurde der SMS- und E-Mail-Verkehr 
zwischen der Frau und einem Münchner 
Journalisten kopiert, besonders markiert 
und zu den Ermittlungsakten genom- 
men, obwohl es darin keinerlei Bezug 
zu den eigentlichen Ermittlungen gab. 
Die richterliche Anweisung gab den 
Ermittlern hierfür keine Erlaubnis. 
Oberstaatsanwalt Thomas Steinkraus- 
Kocherklärte: „Wirhabenkeinen Auftrag 


gegeben, das Handy auf Pressekontakte 
zu überprüfen.“ Das Innenministerium 
und das Polizeipräsidium lehnten jede 
Stellungnahme ab. Polizeisprecher 
Wolfgang Wenger sprach von „laufen- 
den Ermittlungen“. 

Das Ermittlungsverfahren gegen einen 
33-jährigen Polizeibeamten ist abge- 
schlossen, der die Frau in einer Haftzelle 
am 20.01.2013 schwer verletzt haben 
soll, so dass diese eine Nasenbeinfraktur 
erlitt. Gegen die Frau wird wegen 
Beleidigung und Widerstands sowie we- 
gen Körperverletzung ermittelt, nach- 
dem sie Polizisten beschimpft, getreten 
und bespuckt haben soll. Um herauszu- 
finden, ob die Frau damals unter Drogen 
gestanden haben könnte, durchsuchte 
die Polizei am 15.02.2013 morgens um 6 
Uhr die Wohnung der Frau, schnitt ihr in 
der Rechtsmedizin ein Büschel Haare ab 
und beschlagnahmte mit richterlichem 
Beschluss ihr Handy. Die Auswertung 
der Handy-Daten sollte sich beschrän- 
ken auf „mögliche Verstöße gegen das 
Betäubungsmittelgesetz im tatrelevan- 
ten Zeitraum“, um die Schuldfähigkeit 
der Frau an jenem Tag zu überprüfen. 

So wurde der Journalist einer 
Münchner Tageszeitung, der über den 
Fall der Frau berichten wollte, un- 
freiwillig Gegenstand polizeilicher 
Ermittlungen. Name und Medium wur- 
den vom Sachbearbeiter der Polizei mit 
gelbem Leuchtmarker angestrichen. In 
der polizeilichen Ermittlungsakte wur- 
de erfasst, was er der Frau per SMS mit- 
geteilt hatte; und auch, was er ihr von 
seinem dienstlichen E-Mail-Account 
geschickt hat, fand Einzug in die po- 
lizeiliche Ermittlungsakte (Wimmer/ 
Krügel, Ermittlungen in der Grauzone, 
SZ 01./02.2013, 41). 


Bayern 


Telefonüberwachung 
bei Münchner Kripo- 
Dienststelle 


Fast 30 Jahre lang sind im Münchner 
Polizeipräsidium Telefonapparate von 
Beamten des Kriminaldauerdienstes 
(KDD) überwacht worden. An vier 
Apparaten der Kripo-Dienststelle wur- 
den Gespräche mitgehört und aufge- 
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zeichnet. Die Belegschaft war darüber 
überhauptnichtodernurunzureichend in- 
formiert. Die GesprächsteilnehmerInnen 
am anderen Ende der Leitung hatten kei- 
ne Ahnung, dass sie überwacht wurden. 
Erst als sich ein Beamter Ende Juni 2013 
beschwerte und mit einer Klage gedroht 
wurde, flog die „Abhöraffäre‘“ auf. Das 
Präsidium rechtfertigte das Vorgehen mit 
Strafverfolgung und Gefahrenabwehr. 

Es ist gesetzlich vorgesehen, dass ein- 
gehende Notrufe bei Polizei, Feuerwehr 
oder Rettungsdienst aufzuzeichnen sind. 
Wer 110 wählt, muss davon ausgehen, 
dass das Gespräch mitgeschnitten wird. 
Durch die Aufzeichnung werde, so die 
Münchner Polizei, „eine sichere und 
vollständige Übermittlung der gegebe- 
nenfalls ungenauen, lückenhaften und 
unverständlichen Informationen ge- 
währleistet“. Beim KDD wurde aber 
nicht nur die 110 überwacht; betrof- 
fen waren auch andere Gespräche in 
der Einsatzzentrale und sonst beim 
KDD. Gut 90 BeamtInnen sind in der 
Dienststelle tätig. Sie übernehmen wäh- 
rend der Nachtstunden alle relevanten 
kriminalpolizeilichen Aufgaben. Die 
meisten BeamtInnen wussten nicht, 
dass die vier Apparate abgehört wer- 
den. So wurden auch private Gespräche 
ahnungsloser Beamter aufgenommen. 
Das Münchner Polizeipräsidium ver- 
wies darauf, dass man ähnlich wie in 
der Einsatzzentrale auch beim KDD 
Gespräche entgegennehmen müsse, 
die „polizeiliches Handeln erforder- 
lich machen können“. Das polizeiliche 
Aufgabengesetz sche vor, dass außerhalb 
der Notrufeinrichtungen aufgenommen 
werden darf, „soweit dies im Einzelfall 
zur Aufgabenerfüllung erforderlich ist; 
auf die Aufzeichnung soll hingewiesen 
werden“. 

Ungeklärt blieb zunächst, ob über 
diese Nebenstellen beim KDD auch 
Gespräche mit Berufsgeheimnisträgern 
wie Rechtsanwälten, Staatsanwälten 
oder Richtern entgegengenommen 
und vertrauliche Inhalte aufgezeich- 
net wurden. Nach der Beschwerde ei- 
nes Beamten, wurden die Mitschnitte 
zunächst fortgeführt. Erst als mit ei- 
ner Klage gedroht wurde, lenk- 
te das Präsidium ein und stoppte die 
Daueraufnahmen. Strafverteidiger 
Marco Noli bewertete die 
Aufzeichnungen als „Misstrauen gegen- 
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über den Mitarbeitern, Vertrauensbruch 
gegenüber dem Bürger und Verdacht 
einer Straftat.“ Michael Hinrichsen, 
stellvertretender Landesvorsitzender 
der Deutschen Polizeigewerkschaft 
(DPolG) meinte: „Wenn tatsächlich 
beim Kriminaldauerdienst perma- 
nent die Gespräche auf vier Apparaten 
mitgeschnitten wurden und die 
Kollegen nichts wussten, dann verur- 
teile ich das aufs Schärfste.“ Susanna 
Tausendfreund, Landtagsabgeordnete 
der Grünen, forderte parlamentarische 
Aufklärung. Der Landesbeauftragte für 
Datenschutz, Thomas Petri, geht der 
Sache nach. Wenn das Präsidium kei- 
ne Befugnis hatte, die Gespräche mit- 
zuschneiden, so Petri, „dann liegt eine 
Straftat vor“ (Wimmer, Lauschangriff 
bei der Münchner Polizei u. Wer über- 
wacht die Überwacher?, www.sued- 


deutsche.de, 08.07.2013; Wimmer, 
Abhöraffäre bei der Polizei, SZ 
08.07.2013, 24). 

Bayern 

Bespitzelung einer 
Whistleblowerin bei 
Edeka Südbayern 

Das Einkaufszentrum Westpark 
am Rande von Ingolstadt gehört 


zu Edeka Südbayern, eine von sie- 
ben Gesellschaften im bundesweiten 
Genossenschafts-Verbund. Bei Edeka 
Südbayern rumort es; von Korruption, 
internen Intrigen, Einschüchterungen 
und der Bespitzelung von Mitarbeitern 
war immer wieder die Rede. Nun scheint 
eine Mitarbeiterin — ausgerechnet die 
Tochter eines Edeka-Topmanagers — 
ausspioniert worden zu sein. In einem 
sechsseitigen Brief an Geschäftsführung 
und Aufsichtsräte von Edeka Südbayern 
erhob dieser Manager schwere Vorwürfe 
gegen die eigene Organisation. Nachdem 
seine Tochter „dubiose Auftragsvergaben 
an Handwerker und Firmen“ durch den 
Westpark-Leiter intern angezeigt habe, 
sei sie schikaniert und bespitzelt wor- 
den. 

Entgegen seinen Zusicherungen 
und den eigenen Richtlinien soll der 
Compliance-Beauftragte der Edeka 
Südbayern die Hinweise der Frau 


nicht vertraulich behandelt haben. 
Die Firma habe die Mitarbeiterin und 
Managertochter, die bis dahin zehn 
Jahre untadelig im Unternehmen gear- 
beitet habe, zuletzt als Assistentin des 
von ihr beschuldigten Westpark-Chefs, 
im Stich gelassen. Im Gegenzug soll 
der Chef alles daran gesetzt haben, sei- 
ne Mitarbeiterin loszuwerden. Er warf 
ihr plötzlich vor, mehr Arbeitszeit ab- 
zurechnen als tatsächlich zu leisten. Mit 
Videoüberwachung im Einkaufszentrum 
soll er die Frau bespitzelt und 
Bewegungsprofile von ihr erstellt ha- 
ben. Zu diesem Zweck habe er eigens 
den Aufnahmewinkel einer Kamera ver- 
ändern lassen. Die Mitarbeiterin sei be- 
obachtet worden, wann sie ins Büro kam 
und wann sie es verließ. 

Die Vorwürfe des Vaters, selbst ein 
ranghoher Manager bei der Edeka 
Südbayern, führten dazu, dass diesem 
selbst als Quittung Ende Juni 2013 frist- 
los gekündigt wurde. Der beschuldig- 
te Westpark-Leiter erklärte, er erwäge 
rechtliche Schritte gegen den Vater und 
wollesich deshalb nicht äußern. An Stelle 
der Geschäftsführung äußerte sich der 
Bielefelder Rechtsanwalt Carsten Thiel 
von Herff, der als Ombudsmann der 
Edeka Südbayern mit dem Fall befasst 
ist, und wies die Vorwürfe des Vaters als 
„falsch“ zurück. Es habe „hinreichende 
Anhaltspunkte“ für Unregelmäßigkeiten 
bei den Arbeitszeiten der Mitarbeiterin 
gegeben. Daraufhin habe der Westpark- 
Leiter „die Aufzeichnung einer Kamera 
ausgewertet“, die eigentlich aus 
Sicherheitsgründen in einem der öffent- 
lichen Zugänge zum Einkaufszentrum 
angebracht sei. 

Das bayerische Landesamt für 
Datenschutzaufsicht hat den Vorgang 
geprüft und kam zu dem Ergebnis, dass 
„die Auswertung der zweckgebunde- 
nen Videoaufzeichnungen im Hinblick 
auf arbeitsrechtliche Verstöße“ unzu- 
lässig war. Das Persönlichkeitsrecht 
der Mitarbeiterin sei verletzt worden. 
Bloße Hinweise auf falsche Angaben 
von ihr bei der Abrechnung von 
Arbeitsstunden seien kein ausreichen- 
der Grund, um ein Bewegungsprofil 
aus Videoaufzeichnungen zu erstellen: 
„Unserer Ansicht nach fehlt es an der 
Erforderlichkeit der Datennutzung.“ 
Die Edeka Südbayern erteilte gegen 
die Mitarbeiterin wegen der angebli- 
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chen Arbeitszeitmanipulationen eine 
Abmahnung, die sie aber später wie- 
der zurücknahm, so Ombudsmann 
Thiel von Herff, „nicht aus rechtli- 
chen Gründen, sondern lediglich auf 
meine Empfehlung, um zu deeskalie- 
ren“. Gemäß internen Unterlagen war 
er aber noch wenige Monate zuvor 
zu einem etwas anderen Ergebnis ge- 
kommen: Ob die Abmahnung begrün- 
det sei, könne er nicht sicher bewer- 
ten, hieß es damals, unverhältnismäßig 
sei sie in jedem Fall. Eine mündliche 
Ermahnung — das mildere Mittel als 
die Abmahnung — hätte es auch ge- 
tan. Am Vorgehen von Edeka findet 
der Ombudsmann wenig auszusetzen. 
Der Vorwurf, ein Edeka-Beauftragter 
habe die Angaben der Mitarbeiterin 
über Missstände nicht vertraulich be- 
handelt, sei falsch. Ihr Name werde 
zwar neben dem anderer Westpark- 
Beschäftigter genannt, aber nicht als 
Hinweisgeberin. Immerhin gingen die 
Edeka-Revisoren den Angaben der Frau 
nach und stießen gemäß einem internen 
Sonderprüfungsbericht tatsächlich auf 
fragwürdige Auftragsvergaben und äu- 
Berten den „Verdacht einer bevorzugten 
Behandlung“ bestimmter Firmen; man- 
che Verflechtungen seien „sehr sonder- 
bar und abschließend nicht vollständig 
erklärbar“. Als Konsequenz erhielt der 
Westpark-Chef einen Stellvertreter an 
seine Seite gestellt (Läsker/Ritzer, Eine 
Welt für sich, SZ 29./30.06.2013, 28). 


Hamburg 


Kreditech vergibt Online- 
Kredite nach Social 
Scoring 


Kreditech ist ein Startup aus Hamburg- 
Winterhude, das Geld über das Internet 
verleiht und zwar Minikredite. Die 
maximal verliehene Summe sind 500 
Euro; der Durchschnittskunde er- 
hält 109 Euro. Firmengründer sind 
Sebastian Diemer und Alexander 
Graubner-Müller. Kreditech verlangt 
keine Schufa-Auskunft, sondern er- 
mittelt die Ausfallwahrscheinlichkeit 
selbst über ein Social-Scoring-Verfahren 
auf der Grundlage u. a. von Internet- 
Datenanalysen, so Diemer: „Im Idealfall 
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ist das Geld innerhalb von 15 Minuten 
nach Bewilligung auf dem Konto; in 
Polen klappt das schon regelmäßig.“ 
Das Unternehmen fordert so viele Daten 
wie irgend möglich; je mehr es erhält, 
umso präziser wird die Prognose und de- 
sto höher liegt der Kreditrahmen für die 
Kunden. 

Datengrundlage sind die ohnehin öf- 
fentlich einsehbaren Bewertungsprofile 
von Ebay-Konten oder die Profile bei 
Facebook sowie weiteren Plattformen, z. 
B. Xing oder LinkedIn. Es wird u. a. ge- 
prüft, ob Foto und Ort mit Informationen 
bei den Netzwerken übereinstimm- 
ten und ob es unter den Freunden vie- 
le mit ähnlichen Bildungsabschlüssen 
gibt oder viele Kollegen, die in der- 
selben Firma arbeiten. Dies erhöhe die 
Wahrscheinlichkeit, es mit einer realen 
Person zu tun zu haben. In die Wertung 
einbezogen wird auch, ob die Kreditbitte 
von einem teuren iPad oder von einem 
billigen Aldi-Computer ausging. Eine 
Rolle spielt auch das Online-Verhalten 
des Antragstellers, z. B. die Zeit, die 
zum Ausfüllen des Fragebogens be- 
nötigt wird, oder die Fehlerhäufigkeit 
und der Einsatz der Löschtaste. Nach 
Angaben der Macher werden bis 
zu 8.000 Einzelinformationen vom 
Kreditech-Algorithmus verarbeitet. Die 
im März 2012 gegründete Firma expan- 
dierte schnell. Sie ist in Polen, Spanien 
und Tschechien online. In Russland 
ist der Start im Juni 2013 vorgesehen. 
In Deutschland lief der Geldverleih 3 
Wochen lang. Dann stellte Kreditech 
„präventiv“ den Service ein, wohl 
weil sich die deutsche Finanzaufsicht 
BaFin meldete und die Prüfung des 
Geschäftsmodells ankündigte, u. a. we- 
gender hohen Zinsen und der Pflicht, ein 
„Bonitätszertifikat“ für bis zu 49 Euro 
zu erwerben. Der Zertifikatserwerb 
wurde inzwischen nach Firmenangaben 
wieder auf allen Märkten abgeschafft. 
Die verlangten Zinsen sind von 
Darlehenshöhe, Scorewert und Laufzeit 
abhängig und betragen zwischen 5 und 
28% pro Monat. 

Das Geschäftsmodell zieltnichtnurauf 
die Zinseinnahmen, sondern auch aufden 
Aufbau einer internationalen, sich selbst 
aktualisierenden Bonitätsdatenbank, 
die durch andere Unternehmen, insbe- 
sondere Online-Händler, genutzt wer- 
den soll. Anders als bisherige Scoring- 


Verfahren, z. B. der Schufa, die auf 
wenigen Parametern basieren, die ins- 
besondere auf die Kreditvergangenheit 
Bezug nehmen, werden viele weite- 
re Datensätze einbezogen. Grabner- 
Müller erläutert: „Für fast drei Viertel 
der Weltbevölkerung gibt es noch kei- 
ne verlässlichen Bonitätsauskünfte.“ 
In vielen Ländern gibt es keine ähn- 
liche große Marktdurchdringung von 
BonitätsauskunfteienwieinDeutschland. 
Neben Kreditech gibt es andere Anbieter 
wie Zestfinance oder das britische 
Wonga, die ähnliche Ziele in prekären 
Märkten verfolgen. In Großbritannien 
machte Wonga Negativschlagzeilen, als 
es versuchte, Studierende aus staatlichen 
Studentenkrediten in eigene ungleich 
teurere Darlehen zu locken. 

Die Kreditech-Gründer behaup- 
ten, man habe sich weder in Sachen 
Datenschutz noch bei der Zinshöhe et- 
was vorzuwerfen: „Die Schufa spei- 
chert Daten auf Vorrat, wir nur bei einer 
konkreten Anfrage.“ Im Übrigen wür- 
den die Daten abgelehnter Antragsteller 
nach 90 Tagen fast sämtlich gelöscht; 
nur was notwendig sei, um einen ein- 
mal abgelehnten Bewerber wiederzu- 
erkennen, werde länger vorgehalten. 
Investoren halten Social Scoring für au- 
Berordentlich attraktiv. So sicherte sich 
Kreditech im Dezember 2012 4 Mio. 
Dollar Risikokapital; im April 2013 
stiegen die Samwer-Brüder mit einem 
Fonds in ähnlicher Höhe ein. Wonga 
sammelte bereits 141 Mio. Dollar 
von Geldgebern (Müller/Rosenbach/ 
Schulz, Die gesteuerte Zukunft, Der 
Spiegel 20/2013, 72). 


Hamburg 


Bußgeld gegen Google 
wegen WLAN-Scanning 


Der Hamburgische Beauftragte für 
Datenschutz und Informationsfreiheit 
(HmbBfDI) hat gegen Google Inc. we- 
gen unzulässiger WLAN-Mitschnitte 
ein Bußgeld von 145.000 Euro ver- 
hängt. Von 2008 bis 2010 hatte Google 
nicht nur Straßen und Häuser für den 
Dienst Google Street View fotografiert, 
sondern auch WLAN in Reichweite 
der dabei verwendeten Fahrzeuge er- 
fasst. Dabei wurden auch Inhaltsdaten 
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der erfassten unverschlüsselten WLAN- 
Anschlüsse aufgezeichnet. Unter den im 
Vorbeifahren erfassten Informationen 
befanden sich auch erhebliche Mengen 
an personenbezogenen Daten unter- 
schiedlichster Qualität, z. B. E-Mails, 
Passwörter, Fotos und Chat-Protokolle. 

Nachdem der Sachverhalt im Jahre 
2010 aufgedeckt wurde, eröffnete 
die Staatsanwaltschaft Hamburg ein 
Ermittlungsverfahren, das im November 
2012 eingestellt wurde. Der HmbBfDI 
hat daraufhin ein Bußgeldverfahren 
wieder aufgegriffen und abgeschlos- 
sen. Mit dem Bußgeldbescheid wurde 
Google zugleich angewiesen, die unzu- 
lässig erhobenen Daten vollständig zu 
löschen, was dem HmbBfDI gegenüber 
von Google bestätigt wurde. 

Nach Ansicht des HmbBfDI Johannes 
Caspar zeigen Fälle wie dieser deut- 
lich, dass die Sanktionen, die das 
Bundesdatenschutzgesetz vorsieht, für 
die Ahndung derartig schwerwiegen- 
der Datenschutzverstöße nicht ausrei- 
chen. Für multinationale Konzerne sei 
ein Bußgeld bis zu 150.000,- Euro für 
fahrlässige, bis zu 300.000,- Euro für 
vorsätzliche Verstöße regelmäßig ohne 
abschreckende Wirkung: „Solange 
Datenschutzverstöße nur zu Discount- 
Preisen geahndet werden können, ist die 
Durchsetzung des Datenschutzrechts 
in der digitalen Welt mit ihren hohen 
Missbrauchspotentialen kaum möglich. 
Die derzeit im Zuge der künftigen euro- 
päischen Datenschutzgrundverordnung 
diskutierte Regelung, die als maxima- 
les Bußgeld 2% des Jahresumsatzes des 
Unternehmens vorsieht, würde dagegen 
eine wirtschaftlich spürbare Ahndung 
von Datenschutzverletzungen ermögli- 
chen“ (PE HmbBfDI 22.04.2013). 


Hessen 


Acxiom bietet 
Personenprofile zu 
Religion und Ethnie 


Acxiom, einer der größten Daten- 
Analysten der Welt, sammelt und ver- 
kauft in Deutschland personenbezo- 
gene Daten zur ethnischen Herkunft 
von rund 15 Millionen Menschen. Das 
Wirtschaftsmagazin ‚Capital‘ (Ausgabe 
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7/2013) berichtet, dass Acxiom dabei 
auch Profile zur Religionszugehörigkeit 
von BürgerInnen bildet und diese ohne 
ihr Wissen und ohne ihre Einwilligung 
etwa als „außereuropäisch-islamisch“ 
einstuft. Weitere Kategorien der Daten- 
Profile sind „Spätaussiedler“, „Balkan“ 
oder auch „afrikanisch / südlich der 
Sahara“. 

Die personenbezogenen Datenprofile 
verkauft Acxiom weltweit an In- 
teressierte, so deren Broschüre zum 
„Ethno-Marketing“: „Wer weiß, wo die 
unterschiedlichen ethnischen Gruppen 
wohnen, ist klar im Vorteil.“ Die 
Zugehörigkeit einer Person zu einem 
Kulturkreis werde auf der Basis einer 
Vor- und Nachnamens-Analyse identi- 
fiziert und mit amtlichen Informationen 
zur Anzahl der Ausländer abgeglichen. 
Für jeden Straßenabschnitt Deutschlands 
könne, so Acxiom über sich selbst, die 
Zugehörigkeit zu zehn Kulturkreisen 
ausgewiesen werden. Auf Wunsch von 
Kunden werde „die ethnische Herkunft 
auch auf Personen-Ebene“ ausgewiesen, 
also mitName und Adresse. Erkenntnisse 
aus der Analyse könnten damit „so- 
fort vertrieblich nutzbar gemacht wer- 
den“, etwa für Postwurfsendungen oder 
zur „Selektionen kulturkreisbezogener 
Zielgruppenadressen“. 

Der für Acxiom Deutschland zustän- 
dige Hessische Datenschutzbeauftragte 
zeigte sich verwundert, so dessen 
Mitarbeiter Ralf Menger: „Solange 
sich die Datenverarbeitung nur an ei- 
nen Sprachraum knüpft, ist das zuläs- 
sig, aber Kriterien wie ‚islamisch‘ und 
‚Spätaussiedler‘ sind sehr fragwürdig, 
da Daten zur Religion und zur Ethnie 
nur mit Einwilligung der Betroffenen 
genutzt werden dürfen. Wir werden jetzt 
prüfen, welche Daten Acxiom verarbei- 
tet.“ Bereits vor fünf Jahren habe man 
mit Acxiom über das Ethno-Marketing 
gesprochen, doch die rechtlich proble- 
matischen Kriterien habe es damals noch 
nicht gegeben. Der Geschäftsführer 
von Acxiom Deutschland, Carsten 
Diepenbrock, wies die Vorwürfe zu- 
rück; das „Ethno-Marketing“ sei 
aus Sicht des Unternehmens daten- 
schutzrechtlich einwandfrei (Thieme, 
Datensammler bieten Personenprofile 
zu Religion und Ethnie: Datenschützer 
wollen Rechtmäßigkeit prüfen, www. 
presseportal.de 20.06.2013). 


Niedersachsen 


Kommunalsteuerdaten 
von Schneverdingen ab- 
handengekommen 


Die Stadt Schneverdingen hat Namen, 
Anschriften und sogar die Bankdaten 
von rund 8.000 EinwohnerInnen an 
eine Berliner Softwarefirma weitergege- 
ben, um einen Fehler aufzuspüren. Der 
Computer inklusive Daten wurde dort 
bei einem Einbruch geklaut. Mit der 
Kombination von Name und Bankdaten 
ließen sich Online-Einkäufe tätigen und 
ganze Konten über Lastschriftverfahren 
abräumen. Der Niedersächsische 
Landesbeauftragte für Datenschutz (LfD 
Nds) hat eine Prüfung begonnen. Die 
Stadt ist sich keiner Schuld bewusst, so 
Walter Rieser aus der Finanzverwaltung: 
„Uns ist das hochunangenehm.“ Doch 
der Fehler liege bei der Softwarefirma 
in Berlin, die die Daten nicht, wie ver- 
traglich geregelt, direkt nach dem 
Transfer vom Laptop gelöscht habe. Der 
Vertrag habe auch sichergestellt, dass die 
Verschlüsselung von Daten und Leitung 
höchsten Sicherheitsstandards entspre- 
che. Um welche Art der Verschlüsselung 
es sich dabei handelt, konnte Rieser al- 
lerdings nicht sagen. Michael Knaps, 
Pressesprecher des LfD Nds, kommen- 
tierte: „Da stellt sich die Frage, ob eine 
private Firma diese Daten überhaupt se- 
hen darf.“ Gängiger sei es im Bereich 
von Softwareproblemen, mit Dummies 
zu arbeiten. Für Schneverdingen war das 
keine Option. Gemäß Bürgermeisterin 
Meike Moog-Steffens (SPD) habe der 
Hersteller der fehlerhaften Finanz- 
Software aus der Ferne nicht klären kön- 
nen, ob der Zusammenbruch des Systems 
auf einen Defekt in der Anwendung oder 
im Datensatz zurückzuführen sei: „Die 
brauchten Echtdaten von uns.“ 

Als die Berliner Firma um die 
Übermittlung dieser Daten bat, habe 
sich die Stadt sofort mit dem LfD Nds in 
Verbindung gesetzt, so Moog-Steffens: 
„Dort haben wir erfragt, wie wir in die- 
sem Fall vorzugehen haben. Wir ha- 
ben uns natürlich abgesichert.“ Auf 
Grundlage dieser Auskünfte sei dann 
ein Vertrag mit der Berliner Firma auf- 
gesetzt worden, um einen rechtlich kor- 
rekten Datentransfer zu gewährleisten.“ 
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Von einem solchen Gespräch, geschwei- 
ge denn einer offiziellen Anfrage der 
Schneverdinger, weiß man in Hannover 
beim LfD Nds jedoch nichts, so Knaps: 
„Wir wurden nach dem Verlust der 


Daten informiert.“ Dies sei erfreulicher- 
weise unmittelbar nach dem Diebstahl 
geschehen. Dass aber einer seiner 
Kollegen die Transaktion im Vorwege 
abgenickt habe, kann er sich nur schwer 


Datenschutznachrichten aus dem Ausland 


International/Bayern 


Patentamtsbelegschaft 
streikt gegen übermäßige 
Kontrolle 


Angestellte im Europäischen Patent- 
amt (EPA) traten am 26.06.2013 im 
Interesse ihrer Menschenwürde und ih- 
res Streikrechts in den Ausstand. Das 
EPA beschäftigt 7.000 Mitarbeitende, 
4.000 davon in München. Zu der 
Demonstration an diesem Tag wa- 
ren viele auch von den Standorten 
Den Haag, Berlin und Wien angereist. 
Anlass für die Proteste war eine Ver- 
schärfung des Personalstatuts. Darüber 
verhandelte auf Vorschlag von EPA- 
Präsident Benoit Batistelli am 26. und 
27.06.2013 der Verwaltungsrat, das 
oberste Gremium der von 38 Staaten 
getragenen Organisation. Einer der für 
vertraulich erklärten Beschlussvorlagen 
zufolge werden Angestellte nach ei- 
ner Krankmeldung verpflichtet, zwi- 
schen 10 und 12 sowie 14 und 16 
Uhr zu Hause zu sein. Der Präsident 
darf danach ihnen einen Arzt schik- 
ken, der sie in der Wohnung unter- 
sucht. Weigern sich die Angestellten, 
gilt ihre Krankheit als vorgeschoben. 
Die Mitarbeitenden selbst sehen in 
den geplanten Regelungen hingegen 
ein „unwahrscheinliches Misstrauen“, 
wie ein Demonstrant vor dem EPA sag- 
te. „Dahinter steht der Glaube: Das 
Personal macht blau.“ Als Beschäftigte 
einer internationalen Organisation ha- 
ben sie ansonsten viele Privilegien und 
erhalten ihre hohen Gehälter steuerfrei. 

Die Patentamts-Leitung begrün- 
dete die Maßnahmen mit einem im 
Vergleich zu anderen internationa- 
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len Organisationen um 30% höheren 
Krankenstand. EPA-Sprecher Oswald 
Schröder erläuterte: „Dass wir einen 
Arzt zu einem kranken Mitarbeiter schik- 
ken, wird aber die absolute Ausnahme 
bleiben.“ Die Behörde unterliegt nicht 
dem deutschen Arbeitsrecht und muss 
sich deshalb eigene Regeln geben. Das 
Bundesjustizministerium, das die deut- 
sche Delegation im Verwaltungsrat 
stellt, zeigte sich zugeknöpft: „Das sind 
Personalangelegenheiten, die wir im 
Verwaltungsrat besprechen werden.“ 
Nach Ansicht der Münchner Anwältin 
Senay Okyay in einem Gutachten für 
die SUEPO, der Gewerkschaft der EPA- 
Angestellten, verstoßen die Regeln 
für die Krankschreibungen gegen et- 
liche Grundrechte. Menschenwürde, 
freie Arztwahl und Unverletzlichkeit 
der Wohnung seien nicht nur in 
Deutschland garantiert, sondern in al- 
len Mitgliedsstaaten des Patentamts. 
Angestellte selber äußerten sich dazu nur 
anonym, weil sie Disziplinarmaßnahmen 
fürchten, so eine Mitarbeiterin: „Wer als 
Erster den Mund aufmacht, ist der Erste, 
der fliegt.“ 

Auch Änderungen beim Streikrecht 
empörten EPA-Angestellte. Zwar räum- 
te der Entwurf aus Batistellis Büro 
Angestellten dieses Recht ein. Zugleich 
sichert es dem Präsidenten die Kontrolle. 
Das Amt organisiert die Urabstimmung. 
Abstimmen dürfen alle Mitarbeiter, 
nicht nur Gewerkschaftsmitglieder; wer 
teilnimmt, wird in der Chefetage re- 
gistriert. Batistelli hatte nicht vor, den 
Verwaltungsrat mit den Details zu be- 
fassen. Das gilt sowohl für die ge- 
forderte Anwesenheit zu Hause im 
Krankheitsfall als auch für die Hoheit 
über die Urabstimmung. Eine vor- 
bereitete Richtlinie verbietet ande- 


vorstellen (Mennen, Schneverdingen 
nach dem Datenklau, http://www.ndr.de 
06.05.2013). 


re Arbeitskampfmaßnahmen, etwa den 
Dienst nach Vorschrift ohne jegliche 
Eigeninitiativen (Schrader, Blaumachen, 
bis der Arzt kommt, SZ 26.06.2013, 1; 
Europäisches Patentamt: Mitarbeiter 
streiken, www.abendzeitung-muen- 
chen.de 26.06.2013; Stoffels, Ausstand 
der Belegschaft des Europäischen 
Patentamts in München, http://blog. 
beck.de 05.07.2013). 


Österreich 


Neue 
Datenschutzbehörde 
übernimmt Aufgaben der 
Datenschutzkommission 


Der österreichische Gesetzgeber hat 
die Novelle des Datenschutzgesetzes 
beschlossen, welche die Einrichtung ei- 
ner neuen unabhängigen Datenschutz- 
behörde vorsieht. Diese wird nicht nur 
als Kontrollstelle zur Überprüfung der 
Einhaltung von Datenschutzvorschrif- 
ten fungieren, sondern unter ande- 
rem auch für die Führung von Regis- 
trierungsverfahren, die Genehmigung 
von Datenübermittlungen ins Ausland, 
die Genehmigung von Datenverwen- 
dungen für wissenschaftliche oder sta- 
tistische Zwecke und die Auskunfts- 
erteilung an BürgerInnen zuständig sein. 
Der Leiter bzw. die Leiterin der Daten- 
schutzbehörde soll für jeweils fünf Jahre 
vom Bundespräsidenten auf Vorschlag 
der Regierung bestellt werden. 

Bescheide der neuen Datenschutz- 
behörde können beim Bundesver- 
waltungsgericht angefochten werden, 
wobei die Entscheidungen dort ein 
Senat unter Einbindung fachkundiger 
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LaienrichterInnen aus dem Kreis der 
Arbeitgeber und der Arbeitnehmer 
treffen wird. Ein jährlich zu erstellen- 
der Bericht der Datenschutzbehörde 
soll auch dem Nationalrat und dem 
Bundesrat übermittelt werden. 

Von der ursprünglich vorgesehenen 
Einrichtung eines Fachbeirats zur Unter- 
stützung der Datenschutzbehörde wurde 
letztendlich abgesehen. Man wolle jeg- 
lichen Zweifel an der Unabhängigkeit 
der Datenschutzbehörde vermeiden, 
hieß es dazu in den Erläuterungen 
zu einem am 19.04.2013 gemein- 
sam von SPÖ, ÖVP und FPÖ vorge- 
legten Abänderungsantrag. Außerdem 
wurde durch eine Umformulierung 
des Gesetzentwurfs deutlicher sicht- 
bar gemacht, dass nicht nur öffentli- 
che Auftraggeber in Verfahren vor der 
Datenschutzbehörde Parteistellung_ er- 
halten. Der Datenschutzrat erhält die 
ausdrückliche Erlaubnis, Gutachten zu 
Fragen von grundsätzlicher Bedeutung 
des Datenschutzes einzuholen (Ver- 
fassungsausschuss billigt Novellierung 
des Datenschutzgesetzes, www.ots.at 
16.04.2013). 


Frankreich 


Vorwürfe gegen 
Auslandsgeheimdienst 
wegen Massendaten- 
kontrolle 


Nach den Enthüllungen durch Edward 
Snowden über die Überwachungsakti- 
vitäten der US-amerikanischen und 
der britischen Sicherheitsbehörden be- 
richtete die französische Zeitung „le 
Monde“ am 05.07.2013, dass der 
dortige Auslandsgeheimdienst, die 
„Direction Generale de la Securite 
Exterieure“ (DGSE) in ähnlicher Art 
und Weise Kommunikationsdaten ab- 
greift und auswertet. „Unsere ge- 
samte Kommunikation wird ausspio- 
niert.“ Die DGSE fange Signale von 
Computern und Telefonen in Frankreich 
ab. Betroffen seien auch Verbindungen 
zwischen Frankreich und dem Ausland. 
Zwar würden nicht die Inhalte von 
Gesprächen ausgeforscht. Vielmehr 
gehe es darum, eine Übersicht, eine Art 
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Karte zu erstellen, wer mit wem kom- 
muniziere. Der Pressebericht nimmt 
Bezug auf namentlich nicht genann- 
te Geheimdienstquellen sowie offiziel- 
le Äußerungen von Geheimdienstmit- 
arbeitern. Es handele sich um illegale 
Eingriffe. Anders als beim britischen 
Programm „Tempora“ fehle es an jeder 
rechtlichen Kontrolle. E-Mails, SMS, 
Verbindungsdaten und die Nutzung 
von Facebook und Twitter etwa würden 
über Jahre gespeichert. 

Gemäß dem Bericht speichert die 
DGSE die Milliarden Datensätze in 
den drei Etagen im Keller ihres Haupt- 
quartiers in Paris am Boulevard Mortier. 
Die Wärme, die das Rechenzentrum 
ausstrahle, reiche aus, um das gesam- 
te Gebäude zu heizen. Weitere sie- 
ben französische Dienste, darunter der 
Inland- und der Militärgeheimdienst, 
Experten für Geldwäsche, die Polizei 
und Zollfahnder, hätten Zugriff auf die 
Daten. Diesen anderen Diensten sei es 
dann freigestellt, sich in als verdäch- 
tig aufgefallene Kommunikation ein- 
zuklinken und etwa Gespräche abzu- 
hören. Das offiziell nicht existierende 
Rechenzentrum habe inoffiziell den 
Namen „Infrastruktur für die wechsel- 
seitige Nutzung“. Ziel sei es, den Terror 
zu bekämpfen. Zugleich könne aber das 
Kommunikationsprofil jedes Bürgers 
gezeichnet werden. 

Die DGSE gab keine  offiziel- 
le Stellungnahme ab. Die für die 
Kontrolle solcher Spionagemaßnahmen 
zuständige Kommission zweifelte die 
Berichte an und versicherte, der Ge- 
heimdienst arbeite im Einklang mit 
den Gesetzen. Die einzige Einrichtung, 
die Kommunikationsdaten samm- 
le, sei eine Regierungsstelle, die dem 
Premierminister unterstellt sei und 
deren Aufgabe es sei, Sicherheits- 
lücken aufzuspüren. Das Amt des 
Premierministers Jean-Marc Ayrault 
bezeichnete die Berichte als „nicht ex- 
akt“. Es gebe „mehrere Dienste“, die 
aus Sicherheitsgründen Daten abfin- 
gen, darunter der DGSE, der Inlands- 
geheimdienst und der Zoll. Alle die- 
se Spähmaßnahmen seien gesetzlich 
geregelt. Gemäß einem Gesetz aus 
dem Jahr 1991 schlage die Nationale 
Kontrollkommission dem Premier- 
minister Spähmaßnahmen vor, die die- 
ser dann autorisieren könne. Diese 


Maßnahmen würden dokumentiert und 
kontrolliert. 

Der Sozialist Jean Jacques Urvoas, 
Vorsitzender des Rechtsausschusses der 
Nationalversammlung, warfder Zeitung 
„Phantastereien und Ungenauigkeiten“ 
vor. Dass sämtliche Daten angezapft 
und gelagert würden, entspreche nicht 
der Realität, wie er sie kenne. Die 
Franzosen seien keineswegs einer mas- 
siven und dauerhaften Ausspionierung 
außerhalb jeder Kontrolle ausgelie- 
fert. Während der US-Geheimdienst 
NSA mit dem „Schleppnetz“ zu fischen 
scheine, fische die französische DGSE 
zielgenau mit der „Harpune“. 

Die Enthüllungen über das US- 
Spähprogramm „Prism“, insbesondere 
Berichte über das Abhören von EU-Ein- 
richtungen und nationalen Botschaften, 
hatten in Frankreich zu großer Em- 
pörung geführt. Staatschef Frangois 
Hollande hatte gar die Verschiebung 
von Freihandelsverhandlungen mit 
den USA erwogen, sollten die USA 
den Europäern nicht „garantieren“, 
dass sie ihre Spähaktivitäten einstel- 
len. Dem gegenüber blieb das Echo auf 
die Vorwürfe von Le Monde verhalten. 
Zeitungen und Internetseiten berichte- 
ten zunächst überhaupt nicht oder auf 
hinteren Plätzen und versuchten die pu- 
blizierten Recherchen zu widerlegen 
oder abzuschwächen. 

Der Auslandsgeheimdienst DGSE 
untersteht dem Verteidigungsminister. 
Er ist in seiner heutigen Form 1982 ge- 
gründet worden und soll Informationen 
sammeln, die für das nationale Interesse 
Frankreichs von Bedeutung sind, etwa 
im Kampf gegen die Verbreitung von 
Massenvernichtungswaffen oder gegen 
Terroristen. Der Dienst verfügt über 
ein Jahresbudget von 600 Mio. Euro, 
mehr als hundert Standorte im Ausland 
und ungefähr 5.000 Mitarbeitende. 
Annähernd die Hälfte von ihnen soll für 
die technische Abteilung arbeiten, die 
Überwachungsprogramme organisiert 
(Ulrich, Harpune statt Schleppnetz, 
SZ 06./07.07.2013, 6; Wagner u. a., 
Auch Frankreichs Geheimdienst zapft 
massenhaft Daten ab, www.spiegel.de 
04.07.2013; Frankreich soll massenhaft 
Internet-Kommunikation überwachen, 
www.sueddeutsche.de 05.07.2013). 
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Frankreich u. a. 


AXA will Internet nach 
(möglichen) Kundinnen 
scannen 


Der französische Axa-Versicherungs- 
konzern will in großem Umfang das 
Internet durchsuchen, um  zusätzli- 
che Informationen über bestehende 
und künftige KundInnen zu gewinnen. 
Konzernchef Henri de Castries erläu- 
terte: „Heute stellt ein Versicherer bei 
Vertragsschluss 27 oder 30 Fragen, da- 
bei gibt es schon Tausende von Angaben 
über den Kunden im Internet und bei 
uns selbst.“ Die Auswertung der gro- 
ßen Datenmengen sei eine zentra- 
le Herausforderung für die Branche. 
Es gebe Gespräche zwischen Axa und 
Google: „Google weiß schon so viel 
über die Menschen, damit könnte es 
auch Finanzdienstleistungen anbie- 
ten“. Für den „globalen Datenberg“ 
müssten die Regierungen dringend 
Aufsichtsregeln für alle Unternehmen 
beschließen, die den Datenschutz für die 
Betroffenen ausreichend berücksichtig- 
ten (SZ 01./02.06.2013, S. 30). 


Großbritannien 


GCHOQ bespitzelte G20- 
Gipfel im Jahr 2009 


Kurz vor Beginn des G8-Gipfels 
in Lough Erne in Nordirland am 
15./16.06.2013 berichtete die Presse 
unter Berufung auf Dokumente des 
Whistleblowers Edward Snowden über 
Überwachungsaktionen des britischen 
Geheimdienstes GCHQ im Rahmen 
des G20-Gipfeltreffens im September 
2009 in London. Edward Snowden hat- 
te kurz zuvor Details über das streng ge- 
heime Überwachungsprogramm Prism 
des US-amerikanischen Geheimdienstes 
National Security Agency (NSA) öf- 
fentlich gemacht. Unter anderem seien 
Computer überwacht und Telefonanrufe 
abgehört worden. Durchgeführt worden 
sei die Überwachung vom Government 
Communications Headquarters (GCHQ), 
dem britischen Gegenstück zum US- 
Geheimdienst NSA. Einige Delega- 
tionen seien dazu gebracht worden, 


122 


ein Internetcaf& zu nutzen, das zuvor 
vom Geheimdienst eingerichtet worden 
sei. Sämtliche Computer waren präpa- 
riert worden. So habe man den E-Mail- 
Verkehr überwachen und Passwörter 
erbeuten können, noch bevor die Mail- 
Empfänger die Nachricht gelesen hatten. 
BlackBerry-Mobiltelefone von Delegier- 
ten wurden gehackt, so dass nicht nur 
ein Zugriff auf Mails, sondern auch das 
Mithören von Telefonaten möglich war. 

In dem Bericht heißt es, mit der Aktion 
habe die Regierung offensichtlich einen 
Verhandlungserfolg beim Gipfeltreffen 
sicherstellen wollen. Ziele von Späh- 
attacken seien auch Delegationen lang- 
jähriger Verbündeter wie Südafrika 
oder der Türkei gewesen. Auch die 
Kommunikation des damaligen russi- 
schen Präsidenten Dmitri Medwedew 
mit seiner Delegation sei über eine 
Kooperation der NSA mit dem GCOQH 
ins Visier geraten. Einige der Delegierten, 
die damals Ziel der Spionage waren, wa- 
ren im Juni 2013 erneut Gast des G20- 
Gipfels. Rund 45 AnalystInnen sollen 
rund um die Uhr darüber informiert ge- 
wesen sein, wer mit wem telefonierte. 
In einem Briefing von Mitarbeitenden 
an den damaligen GCHQ-Chef heißt es: 
„Die Absicht der GCHQ ist es sicherzu- 
stellen, dass Informationen, die unserer 
Regierung helfen, ihre Ziele während der 
G20-Präsidentschaft zu erreichen, den 
Kunden zur richtigen Zeit erreichen, und 
zwar so, dass er sie bestmöglich einset- 
zen kann.“ Die Ergebnisse wurden auf 
einer 5 Meter breiten Schautafel präsen- 
tiert und ausgewertet. Der Geheimdienst 
sprach von einem dauernden „dynami- 
schen Auswerten“ der Leitungen. Am 
Ende der Operation wurde in einer in- 
ternen Überprüfung der Aktion deren 
Erfolg gelobt: „Es hat sich als nützlich 
herausgestellt zu notieren, welche na- 
tionale Delegation in der Zeit vor, wäh- 
rend und nach dem Gipfel aktiv war. 
Alles in allem ein sehr erfolgreiches 
Wochenende mit der Telefonaktion ge- 
gen die Delegationen.“ Bescheid gewusst 
haben soll unter anderem der damalige 
Premierminister Gordon Brown von der 
Labour-Partei. 

Die britische Regierung in der Downing 
Street von Premier David Cameron ver- 
kündete daraufhin, man äußere sich 
grundsätzlich nicht zu Sicherheitsfragen. 
Auch von den internationalen Delegierten 


in Nordirland gab es zunächst keine 
Reaktionen. Die türkische Regierung soll 
aber den britischen Botschafter in Ankara 
einbestellt haben. Der stellv. Sprecher 
der deutschen Bundesregierung Georg 
Streiter meinte, keine Informationen 
zu den Vorgängen zu haben (Lauschan- 
griff: Großbritannien spionierte G-20- 
Delegierte aus, www.berliner-zeitung. 
de 17.06.2013; Zaschke, Beschnüffelte 
Gipfelgäste, SZ 18.06.2013, 7). 


Großbritannien 


Wanze in Ecuadors 
Botschaft 


Die ecuadorianische Botschaft in 
London, wo der Gründer des Enthül- 
lungsportals Wikileaks, Julian Assange, 
Asyl fand, ist nach Angaben der 
Regierung in Quito abgehört worden. 
Außenminister Ricardo Patino gab be- 
kannt: „In den Büros von Botschafterin 
Ana Alban ist ein verstecktes Mikrofon 
gefunden worden.“. Die Wanze sei bei 
einer Überprüfung der Räumlichkeiten 
vor seinem Besuch in Großbritannien 
Mitte Juni entdeckt worden. Sie sei 
in einer Steckdose angebracht gewe- 
sen und konnte über eine Mobilfunk- 
Karte aktiviert werden. Patifo for- 
derte die britische Regierung auf, die 
Untersuchung zu unterstützen. Er ver- 
dächtigte das in England ansässige 
Sicherheitsunternehmen Surveillance 
Group Limited, die Wanze installiert zu 
haben. Die Firma wies den Vorwurf zu- 
rück. 

Patino meinte, die Aktion habe of- 
fensichtlich nichts mit dem flüchtigen 
früheren US-Geheimdienstmitarbeiter 
Edward Snowden zu tun. In Ecuadors 
Londoner Botschaft harrt der Australier 
Assange seit rund einem Jahr aus, um 
einer Auslieferung nach Schweden zu 
entgehen. Die ihm dort zur Last geleg- 
ten Sexualdelikte nennt der 41-Jährige 
vorgeschoben. Er fürchtet, an die USA 
ausgeliefert zu werden. Dort droht 
Assange wegen Geheimnisverrats eine 
lebenslange Haftstrafe. Assange hält 
sich jedoch in einem anderen Teil des 
Gebäudes auf als dem, wo die Wanze 
gefunden wurde. 

Kurz zuvor war über die Presse 
berichtet worden, dass der US-Geheim- 
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dienst NSA gezielt Einrichtungen der 
Europäischen Union ausgespäht hat, 
was sich aus geheimen Dokumenten 
ergibt, die der frühere Geheimdienst- 
Mitarbeiter Edward Snowden mitge- 
nommen habe. Der Geheimdienst soll 
Wanzen im Gebäude der EU-Vertretung 
in Washington installiert und auch das 
interne Computernetz infiltriert haben. 
Auf die gleiche Art und Weise sei auch 
die EU-Vertretung bei den Vereinten 
Nationen attackiert worden (Wanze in 
Ecuadors Botschaft, SZ 05.07.2013, 
7, Ecuador beklagt Lauschangriff, 
www.n-tv.de 03.07.2013). 


Großbritannien 


Barclays-Bank wird 
Kundendaten verkaufen 


Die britische Großbank Barclays 
will die Daten ihrer KundInnen nutzen 
und Fotos, Stimmaufzeichnungen und 
Facebook-Kommentare kommerziell 
verwerten. Auch die Politik soll von den 
Daten profitieren. Nach Presseberichten 
soll von Herbst 2013 an das Wissen der 
Bank über die Ausgabegewohnheiten 
ihrer KundInnen an Dritte weiterver- 
kauft werden. Die Daten sollen auch an 
Ministerien und Parlamentsmitglieder 
weitergegeben werden können, die da- 
durch mehr über die Interessen in ih- 
rem Wahlkreis erfahren könnten. Mehr 
als 13 Millionen Kontoinhabende sol- 
len davon betroffen sein. Barclays in- 
formierte sie in einem Brief über die 
geplanten Änderungen. Zu den betrof- 
fenen Daten gehören danach „Fotos 
und Stimmaufnahmen“ der Kunden so- 
wie Kommentare in sozialen Medien 
wie Facebook und Twitter, die bei einer 
Interaktion mit der Bank gemacht wur- 
den. Die gesammelten Informationen 
sollen zusammengefasst werden, um 
Trends zu zeigen. Individuen sollen da- 
bei nicht identifizierbar sein. In dem 
Brief teilte das Geldhaus Barclays auch 
mit, dass es Mobiltelefon-Daten sam- 
meln möchte, die Aufschluss darüber 
geben, wo sich der Kunde befindet. 
Allerdings soll das nur dann passieren, 
wenn ein Betrug vermutet wird. Die 
Daten über den Aufenthaltsort könn- 
ten dann mit dem Ort der verdächti- 
gen Transaktion abgeglichen werden 
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(Barclays verkauft Kundendaten, SZ 
26.06.2013, 25). 


Litauen/Estland 


Steuerfahndung mit Hilfe 
von Google Street View 


Die beiden baltischen Länder Litauen 
und Estland wird zum Aufspüren 
von Steuerhinterziehern der Internet- 
Panoramadienst Google Street View 
eingesetzt. Dazu vergleichtt man 
Behördendaten mit den von Google ge- 
machten Fotos und forscht nach, wenn 
man Häuser und Baustellen findet, die 
dort eigentlich gar nicht sein sollten. 
In Litauen wurden die Finanzbehörden 
nach Angaben ihres Sprechers Darius 
Buta so auf etwa 100 Hausbesitzer 
und 30 Firmen aufmerksam, gegen 
die nun ermittelt wird. Die litauischen 
Steuerfahnder ermitteln so im warmen 
Büro, statt sich im Außendienst Wind 
und Wetter auszusetzen. 

Google Street View ist nicht das ein- 
zige neuere und allgemein verfügbare 
technische Angebot, das von Behörden 
zur Steuerfahndung eingesetzt wird: In 
Griechenland nutzt man Satellitenbilder, 
in den USA gleicht die Bundessteuer- 
behörde Internal Revenue Service (IRS) 
Angaben aus Steuererklärungen mit sol- 
chen aus Facebook und Twitter ab, in 
Großbritannien sucht eine Software 
automatisch nach nicht deklarierten 
Verkäufen bei Online-Auktionshäusern. 
Durch die Verknüpfung sehr vieler Daten 
können dabei auch aus scheinbar trivi- 
alen Informationen Hinweise auf ein 
ungewöhnliches und möglicherweise 
rechtswidriges Verhalten gewonnen wer- 
den. Allerdings ist das Risiko groß, dass 
mit solchen Methoden auch Unschuldige 
ins Visier der Behörden geraten (Litauen 
und Estland suchen Steuerhinterzieher 
mit Google Street View, www.heise.de 
21.04.2013). 


Schweden 


Memoto entwickelt Life- 
Log-Kamera 


Die schwedische Firma Memoto 
in Stockholm, ein 2012 gegründetes 


Start-up mit 17 festen Mitarbeitenden 
aus Schweden, Singapur und den 
USA, entwickelt eine Minikamera 
mit Datenspeicherung, welches als 
Gedächtnis der Nutzenden dienen und 
den Blick auf diese verändern soll. 
Die Kamera ist so winzig wie eine 
Streichholzschachtel. Die Memoto- 
Kamera kann mit einem Clip an der 
Kleidung befestigt oder an einer Kette 
um den Hals getragen werden. Sie macht 
automatisch alle 30 Sekunden ein Bild, 
120 Bilder pro Stunde, 2880 am Tag. 
Zu jedem Bild speichert das Gerät die 
Uhrzeit und per GPS den Ort, womit 
ein riesiges Fototagebuch erstellt wird, 
ein „Life Log“. Die Bilder werden auf 
den Servern von Amazon übertragen, 
das diese für Memoto speichert. Die 
Memoto-Software sortiert die Fotos, 
ordnet sie nach Motiven und Zeiten und 
markiert die technisch gelungensten. 
Der oder die Nutzende kann die Bilder 
über ein Smartphone abrufen, weiter be- 
arbeiten oder z. B. über Facebook po- 
sten. Die Memoto-Kamera ist immer ak- 
tiv; sie lässt sich nur dadurch stoppen, 
dass sie in die Tasche gesteckt wird. 
Martin Källström, Gründer von 
Memoto ist nicht der erste, der Life 
Logs entwickelt. Der kanadische Er- 
finder Steve Mann oder der Microsoft- 
Manager Gordon Bell experimentierten 
schon viele Jahre früher mit Geräten, 
die ihre Sinneseindrücke möglichst 
für immer bewahren sollten. Memoto 
will daraus ein Massengeschäft ma- 
chen - sozusagen die totale Erinnerung 
für Jedermann. Ein bisschen appel- 
liert Källström, die Privatsphäre ande- 
rer zu achten: „Respektiert, dass andere 
Menschen manchmal nicht fotografiert 
werden möchten“. Doch das sei „Sache 
der Nutzer“. Memoto habe keinen 
Zugriff auf die Daten, ebenso wenig die 
Werbeindustrie. Das Geld soll durch 
den Verkauf der Kameras verdient wer- 
den. Für 279 Dollars kann ein Exemplar 
reserviert werden; Auslieferung noch 
im Jahr 2013. Einer der Vorbilder ist 
für Memoto Instagram, das auch mit 
zwölf Mitarbeitenden anfıng und 2012 
von Facebook für eine Milliarde Dollar 
übernommen wurde. Instagram änder- 
te danach für einige Monate vorüber- 
gehend seine Geschäftsbedingungen 
und lies sich umfassende Nutzungs- 
und Verwertungsrechte an den Fotos 
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der Nutzenden einräumen (Wolf, Totale 
Erinnerung, Der Spiegel 18/2013, 111). 


Tschechien 


Bürochefin vom Premier 
lässt dessen Ehefrau be- 
spitzeln 


Tschechische Polizeiermittler gaben 
am 14.06.2013 bekannt, dass die we- 
gen einer Korruptionsaffäre festgenom- 
mene Kabinettschefin des tschechi- 
schen Premierministers Petr Necas, Jana 
Nagyova, beim Heeresnachrichtendienst 
(VZ) die Bespitzelung von drei Privat- 
personen bestellt habe. Bei einer der be- 
spitzelten Personen soll es sich um die 
Ehefrau von Necas, Radka Necasova 
handeln. Medien und Politiker behaupten 
schon seit Längerem, dass das Verhältnis 
zwischen Necas und Nagyova „über die 
Arbeitssphäre hinausgeht“. Nagyova lei- 
tete das Sekretariat von Necas seit 2006, 
als dieser noch Arbeitsminister war. 
Ihr wird ein „starker Einfluss“ auf den 
Premier nachgesagt. Necas hatte ange- 
kündigt, dass er sich von seiner Ehefrau 
scheiden lasse. Die Ermittler bezeich- 
neten die Motive der Bespitzelung als 
„rein privat“. Es sei wohl darum gegan- 
gen, Beweise für die eheliche Untreue 
der Gattin zu finden und Necas zur 
Scheidung zu drängen. Ob Necas von 
der Bespitzelungsanordnung seitens 
Nagyovas gewusst hat, ist nicht bekannt. 
Er erklärte, dass er den Übergriff „zu- 
tiefst bedauert“ und missbilligt. Necas 
hatte Nagyova bis zum Schluss vertei- 
digt, obwohl er offenbar zumindest ahn- 
te, dass sie ein böses Spiel hinter seinem 
Rücken gespielt hat. Am 17.06.2013 er- 
klärte Necas, dass er zurücktreten werde. 

Die Bespitzelungsaktion steht in 
Zusammenhang mit der Aufdeckung ei- 
ner Korruptionsaffäre, bei der Necas ab- 
weichlerische Abgeordnete zur Nieder- 
legung ihres Parlamentsmandats gegen 
lukrative Posten bei Staatsfirmen ver- 
anlasst haben soll. Bei einer Razzia sind 
nach Ermittlungsangaben acht Personen 
festgenommen, sowie etwa 150 Millio- 
nen Kronen (5,83 Millionen Euro) in 
bar und dutzende Kilogramm Gold be- 
schlagnahmt worden. Die Affäre sorgte 
für einen Schlagabtausch im Parlament. 
Die oppositionellen Sozialdemokraten 
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(CSSD) hatten den sofortigen Rücktritt 
von Necas und seiner gesamten 
Regierung sowie baldige Neuwahlen 
gefordert, so CSSD-Chef Bohuslav 
Sobotka im Abgeordnetenhaus: „Noch 
nie in der Geschichte des Landes hat 
die Polizei in das Regierungsamt ein- 
gegriffen.“ Necas‘ Kabinett sei „total 
diskreditiert“. Necas hatte zunächst die 
Rücktrittsforderungen zurückgewiesen 
und das Vorgehen der Polizei und der 
zuständigen Staatsanwaltschaft scharf 
kritisiert. Bei der Polizeirazzia und den 
von der Polizei erhobenen Vorwürfen 
handele es sich um ein „medial-politi- 
sches Gulasch mit brisantem Inhalt“, in 
dem mehrere Sachen vermischt worden 
seien, die überhaupt nicht miteinander 
zusammenhingen (Brill, Tschechischer 
Premierminister zwischen zwei Frauen, 
SZ 17.06.2013, 4; Schmidt, Necas stürzt 
über Liebe zu korrupter Büroleiterin, 
www.welt.de 17.06.2013; Necas‘ Se- 
kretärin soll Premiers-Ehefrau bespit- 
zelt haben; www.wienerzeitung.at, 
14.06.2013). 


Ungarn 


Sicherheitsüberprüfungen 
ohne rechtsstaatliche 
Kontrolle 


Nachdem sich das ungarische Parla- 
ment auf ein verändertes Gesetz zum 
„schutzderHeimat“ geeinigthat, befürch- 
tet die Kommission der Europäischen 
Union (EU) in Brüssel, dass damit vor al- 
lem RichterInnen und StaatsanwältInnen 
rechtsstaatswidrig ausspioniert und damit 
unter Druck gesetzt werden könnten. Das 
Gesetz regelt die Sicherheitsüberprüfung 
für Beamte, aber auch für PolitikerInnen, 
die Zugang zu vertraulichen Unterlagen 
haben. In einem Brief an das ungarische 
Parlament hatte der stellvertretende un- 
garische Generalstaatsanwalt Andras 
Varga Ende Mai 2013 gegen das Gesetz 
als „eine Quelle für den Missbrauch der 
politischen Macht“ protestiert, die ge- 
gen die ungarische Verfassung verstoße. 
Vor dem Ausschuss des Europäischen 
Parlamentes für Bürgerliche Freiheiten, 
Justiz und Inneres forderte der portugiesi- 
sche Europaabgeordnete Rui Tavares am 
06.06.2013 darum von der ungarischen 
Regierung eine „offizielle Übersetzung“ 


des gerade verabschiedeten Gesetzes, um 
es aufseine Vereinbarkeit mit den europä- 
ischen Werten prüfen zu können. 

Gegen die Regierung von Minister- 
präsident Orbän, dessen Partei Fidesz mit 
einer Zweidrittelmehrheit regiert, hatte 
die EU-Kommission schon einmal ein 
Verfahren eröffnet, weil die ungarischen 
RichterInnen und StaatsanwältInnen un- 
ter Druck gesetzt werden sollten. Die 
Kritik an dem nun vorliegenden Heimat- 
schutzgesetz richtet sich vor allem da- 
gegen, dass die Regierung eine Über- 
prüfung mit geheimdienstlichen Mitteln 
für bis zu 60 Tage pro Jahr anordnen 
kann, ohne ein Gericht fragen zu müs- 
sen. Auch hätten die Betroffenen keine 
Klagemöglichkeit, wenn sie aufgrund 
der Erkenntnisse entlassen oder gar nicht 
erst eingestellt werden, wenn sie sich für 
den Justizdienst bewerben. Diese Art der 
staatlichen Überprüfung trifft auch son- 
stige BeamtlInnen, die mit vertraulichen 
Vorgängen zu tun haben könnten. Dabei 
werden einfache GeheimnisträgerInnen 
(Stufe „vertraulich‘“) genauso behandelt, 
wie die der höchsten Stufe („streng ge- 
heim“). Bei der Überprüfung darf der 
Nationale Sicherheitsdienst, der unter der 
Verantwortung des Innenministeriums 
steht, Telefone abhören, Privatwohnun- 
gen per Video überwachen und Post öff- 
nen. Vize-Generalstaatsanwalt Andras 
Varga kritisiert in seinem Briefan Barroso 
auch, dass Kriterien wie eheliche Treue, 
Verhalten außerhalb der Arbeit oder fi- 
nanzielle Verhältnisse inspiziert werden 
sollen. Mit solch weit gefassten Kriterien 
bei der Sicherheitsüberprüfung könnte 
die Regierung selbst dann Kündigungen 
aussprechen, wenn der Betroffene sich 
rechtlich einwandfrei verhalten hat 
(Winter, Big Brother in Budapest, SZ 
08./09.06.2013, 9). 


Russland 


Verkehrsministerium 
will Fluggastdaten 
von europäischen 
Fluggesellschaften 


Fluggesellschaften sollen künftig per- 
sönliche Daten von Russlandreisenden 
an die russischen Behörden übermitteln. 
Nach Presseberichten sieht ein Dekret 
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des russischen Verkehrsministeriums 
vor, dass Airlines, die russisches Gebiet 
überfliegen oder dort landen oder star- 
ten wollen, ab 1. Juli 2013 den Behörden 
in Moskau sämtliche Daten übermitteln, 
die bei der Buchung von Flugtickets an- 
fallen, also z. B. Nummern von Kredit- 
karten, Sitzplatzpräferenzen, aber auch 
Adressen und Kontaktdaten am Zielort 
in Russland. Das Dekret unterschei- 
det nicht zwischen Flugreisenden und 
Passagieren von Schiffen, Zügen oder 
Bussen. Der Streit belastet das be- 
vorstehende Gipfeltreffen der Euro- 
päischen Union (EU) und Russlands in 
Jekaterinburg. Der Sprecher von EU- 
Innenkommissarin Cecilia Malmström 
zeigte sich „äußerst besorgt“. Sollte 
Moskau nicht einlenken, gerieten eu- 
ropäische Fluggesellschaften in einen 
Konflikt zwischen Normen der EU und 
der Russischen Föderation. In letzter 
Konsequenz droht, so die Vermutung, 
das Verbot, russische Flughäfen und rus- 
sischen Luftraum zu nutzen. 

Fluggesellschaften dürfen nach EU- 
Recht persönliche Daten ihrer Passagiere 
nicht ohne weiteres an Drittstaaten wei- 
tergeben. Denkbar wäre das nur auf der 
Basis eines Datenschutzabkommens, 
wie es beispielsweise 2012 die EU 
und die USA über Fluggastdaten ge- 
schlossen haben. Damals hatte es hefti- 
ge Diskussionen über den Datenschutz 
gegeben. Auch innerhalb der EU 
gibt es Pläne für die Sammlung von 
Passagierdaten. Die Fluggesellschaften 
sollen dabei verpflichtet werden, die 
Daten, die sie bei der Buchung abfragen, 
an Registerstellen in der EU zu melden. 
Ein erster Anlauf für eine Richtlinie war 
jedoch Ende April im EU-Parlament ge- 
scheitert. 

Der Europaabgeordnete Knut Flecken- 
stein (SPD) erklärte, er sei von besorg- 
ten und ratlosen Vertretern diverser Air- 
lines aufgesucht worden. Malmströms 
Sprecher zufolge gestaltet sich die 
Kommunikation mit Russland zäh. Die 
Kommission sei nicht vorab informiert 
worden, ein Brief vom 15.03.2013 sei 
unbeantwortet geblieben. In Brüssel 
wird vermutet, dass Russland seine 
Forderung wie die USA mit der Abwehr 
von Terrorismus und Schwerverbrechen 
begründen wird. Moskau wolle von der 
EU nicht anders behandelt werden als 
die USA. Fleckenstein sagte, die rus- 
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sischen Ansprüche auf Fluggastdaten 
seien im Rahmen der lange stocken- 
den Verhandlungen über Visums- 
Erleichterungen aufgekommen. Wenn 
die Russen „nun auf der Schluss- 
geraden dieser Verhandlungen einen 
ganzen Baumstamm in den Weg le- 
gen“, stelle sich die Frage, wie groß 
das Interesse an einer Einigung sei. Die 
Kommission könne hier keine Zuge- 
ständnisse machen. Er forderte Moskau 
auf, das Dekret vorübergehend aufzu- 
heben, um den Weg für Verhandlungen 
über ein Datenschutzabkommen zu eb- 
nen. EU-Diplomaten zufolge dürfte 
über ein solches Moratorium gespro- 
chen werden. Derweil gibt es weite- 
re Länder mit Begehrlichkeiten. Der 
Grünen-Europaabgeordnete Jan-Philipp 
Albrecht bestätigte, dass auch Katar 
und Saudi-Arabien Fluggastdaten ha- 
ben wollen (Cäceres, Russland will 
Fluggastdaten aus EU-Ländern, SZ 
03.06.2013, 1, 4; Russland verlangt 
Fluggastdaten aus EU-Ländern, www. 
spiegel.de 03.06.2013). 


Russland 


Sicherheitsdienste nutzen 
analoge Technik 


Russische Geheim- und Sicherheits- 
dienste nutzen zum Schutz vor digita- 
ler Spionage Schreibmaschinen. Der 
Föderale Schutzdienst (FSO), der für 
die Sicherheit des Präsidenten und 
der Regierung zuständig ist, bestellte 
nach Berichten russischer Medien 20 
Schreibmaschinen. Für die Sicherheits- 
dienste sei wichtig, dass jede Schreib- 
maschine ihre eigene Signatur habe 
— anders als etwa in Serienproduktion 
hergestellte Drucker. So könne jedes 
Dokument einer bestimmten Maschine 
zugeordnet werden. Das deutsche 
Modell Triumph-Adler Twen 180 sei 
bei den russischen Geheimdiensten be- 
sonders beliebt. Der frühere Chef des 
Inlandsgeheimdienstes FSB, Nikolai 
Kowaljow, bestätigte, auch die hand- 
schriftliche Aufzeichnung geheimer 
Informationen sei üblich. Besonders 
heikle Dokumente würden nur auf 
Papier und nicht auf elektronischen 
Datenträgern archiviert, um sie zu schüt- 
zen. Üblich sei diese Praxis in Russland 


nicht nur bei den Geheimdiensten, son- 
dern auch im Verteidigungs- und im 
Zivilschutzministerium. Der Sprecher 
des russischen Staatsschutzes FSO, 
Sergej Dewjatow, erklärte, auch alte 
abhörsichere Telefonleitungen würden 
weiter für vertrauliche Gespräche zwi- 
schen den Staatsführungen genutzt. Die 
erste Leitung zwischen der Sowjetunion 
und den USA sei vor gut 50 Jahren 
am 20.06.1963 eingerichtet worden 
(Russische Geheimdienste kramen die 


Schreibmaschine raus, www.zeit.de 
11.07.2013). 

Iran 

Digitale Abschottung 


zwecks Überwachung der 
Bevölkerung 


Der iranische Informations- und Kom- 
munikationsminister Mohammed Hasan 
Nami ließ über das Staatsfernsehen ver- 
künden, sein Land habe einen eigenen 
E-Mail-Dienst gestartet. Bis 2015 will 
sich Iran laut Plan schrittweise vom welt- 
weiten Datennetz abkoppeln und sein ei- 
genes Internet schaffen — das nationale 
Intranet „Halal Internet“, um die staat- 
liche Kommunikationsüberwachung zu 
erleichtern. Beim neuen Mail-Dienst, 
der von der staatlichen Post betrieben 
wird, soll jede BürgerIn des Landes eine 
Kontaktadresse zugewiesen bekommen. 
Entwickelt worden sei die Software dem 
Minister zufolge von „Experten vor 
Ort“. 

Auf dem Weg zum nationalen Netz 
kommt Iran voran. VPN-Verbindungen 
ins Ausland werden staatlich kontrol- 
liert. Populäre soziale Netzwerke wie 
Facebook oder Twitter sind für die 
Bevölkerung gesperrt, ebenso Gmail, der 
E-Mail-Dienst von Google. Stattdessen 
entwickelt Iran eigene Alternativen, um 
die Sperrung ausländischer Webseiten 
auszugleichen. Zuvor hatte Iran etwa 
einen staatlichen Video-Dienst vorge- 
stellt. Das Regime soll auch an einem 
Google-Earth-Klon arbeiten. In Iran 
gibt es laut offiziellen Informationen 
etwa 32 Millionen Internetnutzer. Nach 
den Präsidentschaftswahlen 2009 war es 
in dem Land zu Massenprotesten gegen 
die Führung des Landes gekommen. Die 
Proteste wurden damals unter anderem 
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über das Internet organisiert (Iran startet 
eigenes E-Mail-System, www.sueddeut- 
sche.de 08.07.2013). 


USA 


Regierung auf 
Jagd gegen 
Enthüllungsjournalisten 


Nach der Vertuschungsaffäre um den 
Terroranschlag auf das US-Konsulat 
in Bengasi und den Strafaktionen der 
Steuerbehörde IRS gegen Tea-Party- 
Gruppen und vor den Enthüllungen zum 
Spähprogramm der National Security 
Agency (NSA) Prism wurde bekannt, 
wie die US-Regierung unter Präsident 
Barack Obama, dem seit jeher unter- 
stellt wird, ein gespaltenes Verhältnis 
zu den Medien zu haben, diese aus- 
spähen ließ. Im Rahmen des Versuchs 
der US-Regierung, Geheimnisverräter 
aus den eigenen Reihen zu überführen, 
hat diese die Agentur Associated Press 
(AP) ausgespäht. In einem offenen 
Brief an US-Justizminister Eric Holder 
protestierte der AP-Präsident Gary 
Pruitt am 13.05.2013 „auf schärfste 
Weise‘ gegen den „massiven und bei- 
spiellosen Eingriff“ in die Arbeit seiner 
Reporter. Dafür gebe es „keine denk- 
bare Rechtfertigung“. Das Schreiben 
endet mit den spitzen Worten: „Ich 
freue mich auf Ihre baldige Antwort.“ 
Das Justizministerium habe sich heim- 
lich die Verbindungsdaten von mehr 
als 20 Telefonnummern der Agentur 
und seiner JournalistInnen beschafft. 
Es handele sich dabei um Anruflisten 
von April und Mai 2012. Betroffen 
sind mehr als hundert JournalistInnen, 
dienstliche wie private Anschlüsse, 
eine zentrale Fax-Nummer — sowie das 
AP-Telefon in der Pressegalerie des 
US-Kongresses, das auch viele andere 
Reporter nutzen. Das Ministerium kann 
damit einsehen, wer wen wann anrief 
und so die Quellen der Agentur aufdek- 
ken — auch die anonymen. 

Am 07.05.2012 hatte AP eine CIA- 
Operation im Jemen enthüllt, die ei- 
nen Qaida-Anschlag vereitelt habe. 
Diese Meldung widersprach der Lesart 
des Weißen Hauses, das nach au- 
Ben hin versichert hatte, es habe „kei- 
ne glaubhaften Informationen“ über 
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Terrorpläne gegeben. Monatelang hat- 
te danach die Regierung versucht her- 
auszufinden, woher AP das wusste. 
Sogar CIA-Direktor John Brennan wur- 
de vom FBI befragt. Der dementierte, 
die Quelle gewesen zu sein, und verur- 
teilte die Veröffentlichung als „unau- 
torisiert und gefährlich“. Denn später 
stellte sich heraus, dass der angebliche 
Attentäter ein US-Spion war, der den 
jemenitischen al-Qaida-Arm infiltriert 
hatte. Der AP-Bericht habe, so Minister 
Holder, „Amerikaner in Gefahr ge- 
bracht“. Er kündigte im Juni 2012 zwei 
„Sonder-Ermittlungen“ zu den Lecks 
an; die eine galt dem Vorfall im Jemen, 
die andere einem Leak zum Iran. David 
Sanger von der New York Times hatte 
berichtet, wie die USA im Cyberkrieg 
gegen Iran per Stuxnet-Wurm Teherans 
Computer und Uran-Zentrifugen aus 
dem Gleichgewicht brachten. Damals 
kritisierten die Republikaner, Holder 
tue zu wenig, um die undichten Stellen 
zu finden und dieredseligen Beamten zu 
bestrafen. Die beteiligten AP-Reporter 
gehörten zu den Betroffenen, deren 
Telefondaten die Justiz einkassierte. 
Hinweise, dass Gespräche abgehört oder 
mitgeschnitten wurden, gibt es nicht. 
Der zuständige Staatsanwalt Ronald 
Machen ließ erklären, er habe sich bei 
den Ermittlungen um einen Ausgleich 
bemüht zwischen dem öffentlichen 
Interesse an freier Berichterstattung ei- 
nerseits und ordentlicher Rechtspflege 
andererseits. 

Die indirekte Enttarnung von Infor- 
mantlInnenentsetzte die Medienwelt, de- 
ren Enthüllungen staatlicher Missstände 
vom Schutz diskreter Quellen abhän- 
gen. AP ist ein Konsortium der ge- 
samten US-Presse, mit mehr als 1700 
Tageszeitungen und rund 5000 Hörfunk- 
und Fernsehsendern. Der Watergate- 
Enthüller Carl Bernstein meinte, die- 
se Form von „Einschüchterung‘“ sei 
„völlig unverzeihlich“. Die langjährige 
Washington-Korrespondentin Andrea 
Mitchell sprach von „einem der em- 
pörendsten“ Akte, „die ich in meiner 
Zeit hier erlebt habe“. John Cassidy, 
Reporter des „New Yorker“, erinner- 
te an George Orwells diktatorisches 
Spitzelsystem „Big Brother“: „Was ha- 
ben sie sich nur gedacht?“ 

Obamas Sprecher Jay Carney erklär- 
te am 14.05.2013, das Weiße Haus wis- 


se von nichts. Der Präsident sei auf je- 
den Fall „ein felsenfester Verfechter“ 
der Pressefreiheit — aber nur, solan- 
ge das keine sicherheitsrelevanten 
Informationen betreffe. Kurz darauf 
trat Holder schwitzend vor die Presse. 
Er selbst habe keine direkte Kenntnis 
von dem AP-Fall, der von seinem Vize 
James Cole gehandhabt werde. Aber er 
sei sicher, dass alles vorschriftsgemäß 
abgelaufen sei. Holder erklärte nach 
Bekanntwerden der Spitzelaktion, er 
wolle die hauseigenen Richtlinien „ak- 
tualisieren“. Er suchte das Gespräch 
mit den Journalistinnen und wärm- 
te eine alte Idee auf, mit einem 
„Presseschutz-Gesetz“ Journalistinnen 
mehr Rechte gegenüber eifrigen 
StaatsanwältInnen zu gewähren. Doch 
auch dieser Gesetzentwurf sieht so vie- 
le Ausnahmen vor, dass das FBI weiter- 
machen könnte wie bisher. 

Obama predigt gerne Transparenz, 
geht aber seit jeher knallhart gegen 
Geheimnisverräterlnnen in den ei- 
genen Reihen vor — und gegen die 
ReporterInnen, denen sie ihre Interna 
stecken. Zwar lanciert das Weiße 
Haus selbst immer wieder Top-Secret- 
Informationen, um sich in ein gutes 
Licht zu setzen — etwa die Details über 
den Tod von al-Qaida-Chef Osama Bin 
Laden. Doch wer auf eigene Faust aus 
dem Nähkästchen plaudert, wird gna- 
denlos verfolgt. Sechs „Whistleblower“ 
hat Obama bisher vor die Gerichte brin- 
gen lassen, doppelt so viele wie un- 
ter allen US-Präsidenten zuvor. Die 
Obama-Administration beantwortet er- 
heblich weniger Anfragen nach dem US- 
Informationsfreiheitsgesetz (Freedom 
of Information Act) als die Regierung 
von George W. Bush. Um Beamte bes- 
ser überwachen zu können, versucht 
die Regierung, alle Staatsbedienstete, 
selbst Ranger in Nationalparks oder 
Mitarbeitende in Katasterämtern, pau- 
schal als ‚„‚mit nationaler Sicherheit be- 
fasst“ einzustufen. Der konservative 
Politologe Gabriel Schoenfeld schreibt 
in seinem Buch „Necessary Secrets“: 
„lronischerweise verantwortet Obama 
das härteste Durchgreifen gegen Leaks 
in unserer Geschichte. Mehr noch als 
Nixon“. (Pitzke, US-Medien entsetzt 
über staatliche Spitzelei, www.spiegel. 
de 14.05.2013; Wernicke, Big Brother 
kehrt zurück, SZ 15.05.2013, 5; Richter, 
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Überzogener Ermittlungseifer, SZ 
15.05.2013; Schmitz, Der Serientäter, 
Der Spiegel 21/2013, 134f.; Wernicke, 
Ein Hauch von Nixon, SZ 31.05.2013, 
47). 


USA 


Verdacht gegen IRS 
wegen tendenziöser 
Ermittlungen 


Im April 2010 begannen BeamtInnen 
des Internal Revenue Services (IRS), 
der von vielen verhassten und von 
rechtskonservativen BürgerInnen als 
„illegal“ geschmähten US-Bundes- 
Steuerbehörde, damit, Anträge auf 
Steuerbefreiung von gesellschaftlich ak- 
tiven Gruppen nach Gesinnung zu sortie- 
ren. Wer Begriffe wie „Tea Party“ oder 
„Patrioten“ im Namen trug, sah sich 
langen Prüfungen und umfangreichen 
Nachfragen ausgesetzt. Die Obama- 
GegnerlInnen sollten ihre SpenderInnen 
offenlegen, genauestens Rechenschaft 
über ihre Aktivitäten ablegen und 
Presseartikel über sich herbeischaffen. 
Linke Gruppen blieben währenddessen 
verschont. 

US-Präsident Barack Obama versi- 
cherte, das Weiße Haus habe bis zum 
10.05.2013 von dieser Polit-Willkür 
nichts gewusst. Die anfängliche Be- 
hauptung, kleine IRS-Bürokraten in 
einer Außenstelle in Cincinnati hätten 
„Fehler begangen“, erwies sich als un- 
zutreffend. Die BeamtInnen bestimm- 
ten vielmehr die Prüfregeln für die ge- 
samte Nation und selbst nach einem 
mahnenden Eingriff einer Vorgesetzten 
im Sommer 2011 wurde die Dis- 
kriminierung fortgeführt. Statt am blo- 
ßen Namen orientierte sich die IRS 
nun an der Mission der Politgruppen. 
Wer „eine Begrenzung/Ausweitung 
der Regierung“ anstrebe, wer „über die 
Verfassung oder die Bill of Rights be- 
lehrt‘“ — Kernmissionen der Tea Party 
— bekam es mit den SteuerprüferInnen 
zu tun. Gemäß Presseberichten sollen 
IRS-BeamtInnen in Washington D.C. 
einer rechten Gruppe aus Texas im 
Gespräch offen gestanden haben, sie 
würden „nur das tun, was Washington 
sagt“ (Wernicke, Big Brother kehrt zu- 
rück, SZ 15.05.2013, 5). 
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USA 


Supreme Court akzep- 
tiert routinemäßige DNA- 
Identifikation 


Das höchste Gericht in den USA, 
der Supreme Court, entschied im Fall 
„King“ mit einer knappen Mehrheit 
von 5 der 9 Richter, dass ein Staat 
nicht exzessiv handelt, wenn er sich 
den DNA-,Fingerabdruck“ sämtlicher 
Personen per Wattestäbchen aus der 
Mundhöhle erhebt und speichert, wenn 
ein Straftatverdacht vorliegt. Hierfür 
benötigt die Polizei keinen richterli- 
chen Beschluss. Es bedarf auch kei- 
ner Verdächtigung bestimmter Taten, 
etwa Sexualstraftaten. Hintergrund der 
Entscheidung war eine DNA-Entnahme 
bei einem Verdächtigen eines einfachen 
Raubüberfalls im Jahr 2009 durch die 
Polizei in Maryland. Beim Vergleich in 
der DNA-Datenbank stellte die Polizei 
fest, dass die DNA zu einem ungelö- 
sten Fall, einer Vergewaltigung im Jahr 
2003, passte. Die pauschale Entnahme 
von DNA-Proben ist in 28 der 50 US- 
Staaten gängig. Im Fall King hatte ein 
Berufungsgericht noch entschieden, 
dass es gegen die Grundrechte verstößt, 
wenn die DNA eines jeden Verdächtigen 
überprüft wird, noch bevor die Justiz 
überhaupt Schuld oder Unschuld festge- 
stellt hat. 

Diese Entscheidung wurde nun auf- 
gehoben. Aus Sicht der Mehrheit des 
Gerichts wurde nicht darauf abge- 
stellt, dass es um die Klärung von 
Altfällen gehe. Vielmehr wurde die 
Maßnahme einfach als ordentliche 
Identifizierungsmaßnahme legitimiert, 
so Richter Anthony Kennedy: „Der 
DNA-Abstrich ist, wie Fingerabdrücke 
oder Fotos, eine legitime erkennungs- 
dienstliche Maßnahme.“ Zwischen 
DNA- und normalem Fingerabdruck be- 
stehe also kein rechtlicher Unterschied. 

Die unterlegene Minderheit im Gericht 
widersprach mit seltener Heftigkeit. 
Richter Antonin Scalia meinte, das 
Urteil strapaziere die „Leichtgläubigkeit 
der Leichtgläubigen“. Es verkenne, 
wozu die Routine-DNA-Tests heute 
wirklich dienten, nämlich zum Lösen 
der „cold cases“, also von Altfällen: 
„läuschen Sie sich nicht: Wegen der 


heutigen Entscheidung kann Ihre DNA 
entnommen und in einer landeswei- 
ten Datenbank gespeichert werden, 
wenn Sie auch nur einmal festgenom- 
men werden, zu Recht oder zu Unrecht, 
warum auch immer.“ Nach Ansicht der 
Minderheit verstößt dies gegen den 4. 
Zusatz zur US-Verfassung, der verhin- 
dern soll, dass der Staat ohne Anlass 
oder Verdacht in die Privatsphäre seiner 
Bürger eindringt. Gerade der Fall King 
zeige, dass das Urteil falsch ist: King sei 
auch ohne DNA identifiziert worden, die 
Polizei habe Namen, Rasse, Geschlecht, 
Größe, Gewicht, Geburtsdatum und 
Adresse gekannt. Scalia erinnerte an die 
Revolutionäre, die einst die Verfassung 
prägten: „Diese stolzen Männer hät- 
ten nicht so bereitwillig ihren Mund 
geöffnet für königliche Kontrollen“. 
(Richter, Wattestäbchen auf Verdacht, 
SZ 05.06.2013, 1). 


USA 


Postdienst er- 
fasst gesamten 
Inlandsbriefverkehr 


Gemäß Presseberichten werden in 
den USA im eigenen Land gewöhn- 
liche Postsendungen vollständig 
vom staatliche Postdienst US Postal 
Service (USPS) abfotografiert. Von 
dem Überwachungsprogramm „Mail 
Isolation Control and Tracking“ (MICT) 
seien im Jahr 2012 rund 160 Milliarden 
Briefe betroffen gewesen. Absender 
und Empfänger von jeder Sendung, 
die über den staatlichen Postdienst 
USPS verschickt wird, würden elek- 
tronisch erfasst. Für den Zugang ge- 
nüge ein schriftlicher Antrag, den die 
Post im Normalfall nicht ablehnt. Die 
„New York Times“ beruft sich bei die- 
sem Bericht u. a. auf Mitarbeiter des 
US-Justizministeriums und einen che- 
maligen Agenten der amerikanischen 
Bundespolizei FBI. Das Programm 
diene vor allem der Arbeit von ameri- 
kanischen Strafverfolgungsbehörden. 
Die Sendungen würden nicht geöff- 
net. Gemäß einer mehr als 100 Jahre al- 
ten Vorgehensweise würden Daten wie 
Absender, Empfänger oder Einwurfsort 
registriert und vor Auslieferung der 
Sendungan Sicherheitsbehörden weiter- 
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gegeben. Diese Routine-Überwachung 
wurde nach dem 11.09.2001 nach 
Attentaten mit vergifteten Anthrax- 
Briefen, die fünf Menschenleben forder- 
ten, intensiviert. Wie lange die Behörden 
die gesammelten Daten speichern, sei 
noch unklar (US-Regierung überwacht 
gesamten Briefverkehr in USA, www. 
focus.de 04.07.2013; Haverertz, Mal 
eben den Empfänger scannen, www. 
taz.de 04.07.2013; Richter, Verbogene 
Wahrheiten, SZ 05.07.2013, 8). 


USA 


Google will „Policy 
Violation Checker“ 
patentieren 


Google hat ein Patent auf sein Tool 
„Policy Violation Checker“ beantragt, 
eine Software, die elektronische Texte, z. 
B. Mailinhalte, auf politische Korrektheit 
hin überprüft und bewertet. Das Tool 
funktioniert nach dem Prinzip der Auto- 
Korrektur und erkennt schon während des 
Tippens Wortfolgen und Sätze, die nicht 
gestattet sind. Was genau verboten ist, 
kann individuell programmiert werden — 
vom Staat, einem Unternehmen oder einer 
Privatperson. Wo die Software eingesetzt 
werden soll, ist bisher nicht klar; mög- 
lich ist aber vieles. Der „Policy Violation 
Checker“ soll so programmiert sein, dass 
er auffällige Mails direkt an Dritte wei- 
terleiten kann, also beispielsweise an 
die Rechtsabteilung der Firma, den Chef 
oder die Polizei. Das Programm kann den 
Schreiber warnen und darüber informie- 
ren, worin der Policy-Verstoß liegt oder 
korrekte Alternativformulierungen vor- 


schlagen. Google preist sein Patent als 
ein Instrument an, mit dem Unternehmen 
vor Gerichtsverfahren wegen diskri- 
minierenden, beleidigenden oder ge- 
schäftsschädigenden Veröffentlichungen 
bewahrt werden können. 

Viele Blogger reagierten empört, so z. 
B. TechWeek: „Damit hat sich Google 
endgültig den Big Brother-Stempel auf- 
gedrückt.“ Die Huffington Post frag- 
te: „Wird man als Mörder verurteilt, 
wenn man seinen Mitbewohner ‚um- 
bringt‘, weil er die Küche nicht geputzt 
hat?“ Es wird darüber spekuliert, wie 
der Policy Checker in Unternehmen 
eingesetzt werden könnte oder wie 
Regierungen, eventuell in Diktaturen, da- 
mit die Bevölkerung überwachen könn- 
ten. Der amerikanische Blog Rough Type 
schreibt, dass Google „böse Gedanken“ 
am liebsten schon dort auslöschen wür- 
de, wo sie entstehen. Sergey Brin, der 
Entwickler der Suchmaschine, witzelt 
im Buch „The Google Story“, dass ein 
kleiner Google-Adapter irgendwann un- 
sere Gehirne verbessern könnte. Nicht 
das, was man denkt, aber immerhin alles, 
was man schreibt, kann derart ausgewer- 
tet werden. Google entwickelte also ein 
Werkzeug, mit dem Gehirnwäsche und 
Gedankenpolizei praktiziert werden kön- 
nen. Ob Google das Patent zum Policy 
Violation Checker anerkannt erhält, ist 
noch nicht klar. Durch den Protest im 
Netz hat das Unternehmen zunächst öf- 
fentlich zurück gerudert. Der Antrag auf 
das Patent läuft aber weiter. Slashdot be- 
richtete als Erster über den Patentantrag 
und appellierte — in Anspielung auf das 
Unternehmensmotto: „Tu nichts Böses“ 
(do no evil): „Wenn Du schon nicht 
Nichts Böses tun kannst, so könntest Du 


Technik-Nachrichten 


Snapchat: Digitaler 
Bilderselbstzerstörungs- 
dienst 


Als Evan Spiegel (22) an der 
Eliteuniversität Stanford in seiner 
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Abschluss-Arbeit die Entwicklung ei- 
ner mobilen App präsentierte, mit 
der Freunde Fotos teilen können, die 
nach dem Ansehen automatisch ge- 
löscht werden, erntete er zunächst we- 
nig Resonanz. Als Spiegel und sein 
Partner Bobby Murphy (24) aber im 


zumindest nichts Böses aufdecken!“ 

Dass Googlemail Nachrichten auf 
Inhalte untersucht, ist nichts Neues. Es 
ist normal, dass der Browser Werbung für 
eine Last-Minute-Reise in der Algarve 
zeigt, nachdem man mit einer Freundin 
über den Surftrip in Portugal gemailt hat. 
Die aktuelle Software würde jedoch ei- 
nen Schritt weitergehen. Ob Google die 
Software auf Googlemail anwenden 
wird, ist unklar. 

In Deutschland gilt das Recht auf 
Brief- bzw. Telekommunikationsge- 
heimnis, das auch auf E-Mails anzu- 
wenden ist. Alles, was zwischen zwei 
Personen geschrieben wird, darf grund- 
sätzlich von niemand anderem gelesen 
werden. Nur in Ausnahmefällen darf die 
Polizei Inhalte zur Strafverfolgung nut- 
zen. Ein entsprechender Einsatz der ge- 
planten Google-Software würde gegen 
das europäische Telekommunikations- 
und Fernmeldegeheimnis verstoßen. Es 
ist aber noch eine ganz andere Qualität, 
ob man eine Auswertung von Begriffen 
macht, um Werbung zu schalten oder ob 
Meinungsinhalte ausgewertet werden, 
um hiervor zu warnen oder direkt zu inter- 
venieren. Da eine inhaltliche Bewertung 
erfolgt, wäre der Einsatz in Europa zu- 
dem als Eingriff in das Grundrecht auf 
Meinungsäußerungsfreiheit einzustu- 
fen. Das Ansinnen Googles, politische 
Korrektheit zu kontrollieren, nimmt nicht 
nur Einfluss auf den jeweiligen User, 
sondern auf die gesamte Gesellschaft 
(Google Aims To Patent Policy Violation 
Checker, Potentially Revolutionizing 
Email Snooping, www.huffingtonpost. 
com 06.05.2013; Bühler, Googles neues 
Spionage-Tool, www.br.de 10.05.2013). 


September 2011 eine erste Version im 
Internet anboten, landeten sie einen 
Treffer. Ihre App Snapchat kommt aus- 
gesprochen schlicht daher. Ein klei- 
ner Geist „Ghostface Chillah“, der als 
Maskottchen fungiert und nach dem 
Wu-Tang Clan Rapper „Ghostface 


Killah“ benannt ist, bleibt die einzi- 
ge jugendliche Extravaganz. Mit dem 
Programm kann man Fotos und Videos 
erstellen. Es bietet die Möglichkeit, den 
Account mit Twitter und Facebook zu 
vernetzen. 

Das Besondere der Funktionsweise 
von Snapchat steht im krassen 
Gegensatz zur allgemeinen Praxis der 
Nutzung von Fotos im Internet: Eine 
Snapchat-Aufnahme ist grundsätzlich 
mit einem Haltbarkeitsdatum versehen. 
Das heißt: Der Nutzende bestimmt beim 
Erstellen der Nachricht, wie lange sein 
Foto oder Video den Empfangenden 
gezeigt werden soll — mindestens eine, 
maximal zehn Sekunden sind möglich. 
Danach zerstört sich die Nachricht von 
selbst. Völlig sicher ist der Dienst aber 
nicht. Die Betreiber versprechen, die 
übermittelten Bilder unmittelbar von 
ihren Servern zu löschen, doch ist es 
den Empfangenden eines Fotos durch- 
aus möglich, einen Screenshot zu er- 
stellen. Während die Mitteilung sich 
dann selbst zerstört, bleibt dieser auf 
dem Handy erhalten. Zwar erschwert 
die App das, indem sie den Nutzenden 
zwingt einen Button gedrückt zu halten, 
um die Fotos zu sehen, und warnt einen 
Nutzenden, wenn doch eine Kopie sei- 
ner Nachricht erstellt wurde, doch kann 
so ein Bild erhalten bleiben. Auch die 
Benachrichtigung beim Erstellen eines 
Screenshots können technisch Versierte 
umgehen. 

Das Datensicherungsunternehmen 
Decipher Forensics meldete, es kön- 
ne bei Smartphones, die mit Android 
laufen, Fotos im Nachhinein aus dem 
Speicher auslesen. Dazu benötige es nur 
ein entsprechendes Softwareprogramm 
und mindestens einen Tag Zugriff auf 
das Gerät; Snapchat benenne Fotos 
nur um, nachdem der Empfangende 
diese angesehen hat, so dass er sie 
nicht wiederfindet. Gelöscht wür- 
den sie nicht. Der Technologieblog 
Techcrunch hat versucht, den Test der 
Datensicherungsfirma zu wiederholen. 
Dabei ergab sich, dass die Experten 
ein übermitteltes, aber noch nicht ge- 
öffnetes Foto ansehen und umbenen- 
nen konnten — dies allerdings nur bei 
einem „gerooteten“ Smartphone, also 
einem Gerät, bei dem Voreinstellungen 
des Herstellers geändert und zusätzli- 
che Rechte eingeräumt wurden. Ein ge- 
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rootetes Handy lässt sich leichter von 
außen angreifen. 

Snapchat trifft gerade bei jungen 
Menschen einen Nerv: Das Versenden 
erotischer Inhalte ist unter dem Begriff 
„Sexting‘“ bekannt geworden und un- 
ter Jugendlichen verbreitet. Snapchat 
ermöglicht das Versenden anstößiger 
Bilder verbunden mit der Erwartung, 
dass diese keine weitere Verbreitung 
finden. Das Team hinter Snapchat wehrt 
sich gegen die Vermutung, mit der App 
sollten vornehmlich anstößige Bilder 
verschickt werden. Der überwiegen- 
de Teil der Bilder werde tagsüber ver- 
schickt und ihr Inhalt sei lustig und 
nicht sexuell. 

50 Millionen Fotos täglich wurden 
im Dezember 2012 via Snapchat ausge- 
tauscht. Ein halbes Jahr später war von 
150 Mio. und 200 Mio. pro Tag die Rede. 
Zum Vergleich: Instagrams Nutzer laden 
täglich gerade einmal fünf Millionen 
Fotos hoch. Zwar wirft Snapchat bis- 
lang keinen Profit ab, allerdings sam- 
melten die jungen Entwickler bei einer 
ersten Finanzierungsrunde im Herbst 
2011 immerhin rund eine halbe Million 
US-Dollar. Ende Juni 2013 waren es 
schon 60 Mio. US-Dollar. Facebook 
reagierte schnell und veröffentlichte 
mit dem Jahreswechsel 2012/2013 die 
eigene Foto-App Poke, die auch unab- 
hängig vom sozialen Netzwerk funk- 
tioniert; seine Funktionen gleichen de- 
nen Snapchats bis ins Detail und auch 
Facebooks Gegenangriff ist kostenlos 
im App-Store verfügbar. Gerüchten zu- 
folge hat Facebook seine App innerhalb 
kürzester Zeit aufden Markt geworfen — 
von nur drei Wochen Entwicklungszeit 
ist die Rede. Mark Zuckerberg selbst 
soll auf die rasche Fertigstellung ge- 
drängt haben. Offenbar ist Facebooks 
CEO nicht bereit, alte Fehler zu wie- 
derholen: Nach langem Zögern hat- 
te Mark Zuckerberg für Instagram ei- 
nen absurd hohen Preis bezahlt. Die 
Reaktion Zuckerbergs zeigt das enorme 
Potential, das Snapchat in der Branche 
zugesprochen wird (Wais, Smartphone- 
App Snapchat zerstört Fotos von selbst, 
www.welt.de 

09.01.2013; Crocoll Digitale 
Selbstzerstörung, SZ 14.05.2013, 20; 
Huber, Der Vorzug der Vergänglichkeit, 
SZ 26.06.2013, 21). 


Angriff auf IOS durch 
manipulierte Smartphone- 
Steckdose 


Forschende des Georgia Institute of 
Technology/USA haben angekündigt, 
öffentlich darzustellen, wie sich Geräte 
mit Apples Betriebssystem iOS durch 
ein manipuliertes Ladegerät mit schäd- 
licher Software manipulieren lassen. 
Innerhalb nicht einmal einer Minute 
könne so jedes iPhone oder iPad zum of- 
fenen Buch für Hacker gemacht werden 
- allen Sicherheitsmaßnahmen wie etwa 
einer PIN-Sperre zum Trotz. 

Dabei ist eine große Bandbreite vor- 
stellbar, darunter Software, die Daten wie 
Kontakte, Mails und Ähnliches abgreift 
und über das Internet an die Angreifer 
versendet, ebenso wie Programme, die 
unbemerkt vom Nutzenden Mikrofon 
und Kamera der Geräte einschalten und 
es so als Wanze nutzen können. Die 
Wissenschaftler verwendeten für ihren 
Angriff eine nur wenige Zentimeter gro- 
ße Minicomputer-Platine, die es für 45 
Dollar fertig zu kaufen gibt. 

Die Forschenden beschreiben, dass 
sie diese Hardware ausgesucht ha- 
ben, um zu zeigen, wie leicht es ist, 
ein unverdächtig aussehendes USB- 
Ladegerät zu bauen, in dem die Platine 
zusammen mit Bauteilen für ein ech- 
tes Ladegerät in einem Gehäuse ver- 
baut wird. Steckt man ein Apple-Gerät 
an diese Konstruktion, lässt sich belie- 
bige Software auf jedes Gerät laden, das 
mit iOS läuft. Die Forschenden konn- 
ten die eingeschleuste Software tief im 
System verankern, so dass sie nur schr 
schwer zu finden war. Der Angriff funk- 
tioniert deshalb, weil die Buchse, an 
die man das Ladegerät anschließt, nicht 
bloß für die Stromversorgung zustän- 
dig ist. Darüber lassen sich die Geräte 
auch mit Computern verbinden, zum 
Beispiel um Musik zu überspielen. Bis 
Ende Juli 2013, wenn die Forschenden 
ihre Erkenntnisse im Detail öffent- 
lich machen, hat Apple nun Zeit, sich 
Gegenmaßnahmen auszudenken. 

Die Sicherheitsforscher Sebastian 
Schreiber und Philipp Buchegger berich- 
ten über eine ähnliche Sicherheitslücke: 
Ihnen ist es gelungen, ein komplet- 
tes Backup der Daten von IPhones und 
iPads zu ziehen, selbst wenn das Gerät 
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gesperrt war. Auch das spätere Ändern 
des Sperrcodes nützt den Besitzenden 
nichts, weil das Netzteil sich den 
Masterschlüssel ergattert. Deshalb gibt 
Schreiber den Ratschlag: „iPhones und 
iPads sollten ausschließlich mit eigenen 
vertrauenswürdigen Geräten verbunden 
werden“ (Martin-Jung, Handy-Attacke 
aus der Steckdose, SZ 05.06.2013, 10; 
Datenklau von iPhones und iPads, Der 
Spiegel 24/2013, 106). 


Pulsmessen per Webcam 


2012 haben Informatiker um Michael 
Rubinstein vom Massachusetts Institute 
of Technology (MIT) eine Methode der 
Eulerschen Videoverstärkung (EVM) 
vorgestellt, die kleinste Bewegungen ver- 
deutlicht. Mit der Methode des Computer 
Science and Artificial Intelligence 
Laboratory (CSAIL) lassen sich aus 
Videodaten Veränderungen herausfiltern 
und verstärken. Verborgene Vorgänge in 
Gebäuden und Gerüsten sind dadurch 
zu erkennen. In Gesichtern ist mit etwas 
Verstärkung auch der Pulsschlag erkenn- 
bar. Im März 2013 veröffentlichten die 
Forschenden den Quellcode ihrer Arbeit, 
was nun andere Programmierer animier- 
te, die Technik weiterzuentwickeln und 
zu Forschungszwecken auf haushaltsüb- 
lichen Geräten nutzbar zu machen. 

Der NASA-Forscher und Program- 
mierer Tristan Hearn (thearn) veröf- 
fentlichte ein von der EVM inspiriertes 
Programm für Webcams, das automa- 
tisch das Gesicht des Nutzenden erkennt, 
sich eine Stelle auf der Stirn sucht und 
anhand der Farbveränderungen durch 
einströmendes Blut den Pulsschlag zu 
berechnen beginnt. Im Test schwanken 
die Werte zwar, sobald der Kopf bewegt 
wird. Bei einem sich nicht bewegen- 
den Probanden berechnet das Programm 
aber erstaunlich gut den Herzschlag: Die 
Pulsfrequenz nach einem Sprint durchs 
Treppenhaus gab die Software bis auf ei- 
nige Schläge pro Minute genau an. Hearn 
bietet seinen Webcam-Puls-Detektor ko- 
stenlos zum Herunterladen an. 

Dadurch wirft er eine Frage auf, 
die in der aktuellen Debatte um 
Gesichtserkennung, etwa über die der- 
zeit getestete Google-Brille, wich- 
tig werden könnte: Sind abseits der 
Personenerkennung die Gesichtsdaten 
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auch für andere Zwecke tabu? Schickt 
es sich beispielsweise, beim Flirten 
per Webcam den Erregungsgrad des 
Gegenübers zu messen? Ende Mai 2013 
verbot Google zwar in seinen Richtlinien 
Apps, die Benutzer namentlich identifi- 
zieren, aber über weitere Analysen von 
Gesichtsdaten macht das Unternehmen 
keine konkreten Aussagen. Beim 
Ideenwettbewerb zur Einführung der 
Brille fand der Anwendungsbereich der 
Telemedizin, also die Diagnose über 
Videozuschaltung, großen Anklang und 
Beachtung. 

Elektrotechniker Christian Hofmann 
vom Fraunhofer Institut für Integrierte 
Schaltungen sieht darin ein „großes 
Zugpferd für medizinische Sensorik“. 
Mit Kollegen in Erlangen erforscht 
er neue Geräte und Plattformen, aber 
auch Methoden zur medizinischen 
Datenverarbeitung. In einer immer äl- 
ter werdenden Gesellschaft werde der 
Bedarf an schnellen und flächendek- 
kenden Videodiagnosesystemen zu- 
künftig immer größer: „Der von den 
Amerikanern offengelegte Quellcode ist 
dasicherlich ein Multiplikator. Studenten 
und Forscher können so schnell und un- 
kompliziert damit arbeiten und entwik- 
keln.“ Aussagekräftig und medizinisch 
nützlich sind solche Programme insbe- 
sondere, wenn viele Daten zusammen- 
fließen und kombiniert analysiert wer- 
den, so Hofmann: „Wenn ich den Puls 
einer Person messe, kenne ich nur einen 
Wert. Messe ich auch die Bewegung, 
kann ich folgern: Der Puls ist erhöht, 
weil die Person rennt.“ Daraus könne 
sich ein Missbrauchspotential ergeben. 
Zusammen mit anderen Daten könn- 
te die Software eine Basis liefern für 
Stressanalysen und Lügendetektoren, die 
das Gegenüber bewerten — und das wo- 
möglich ganz unauffällig, zum Beispiel 
mit einem kleinen Programm auf der 
Datenbrille (Gotzner, Open-Source- 
Software: Webcam fühlt den Puls des 
Nutzers, www.spiegel.de 06.06.2013). 


Digitale Video- 
Stressdetektion für 
Studierende 


US-Forschende wollen Lernsysteme 
mittels Bilderkennung so verbessern, 
dass sie künftig automatisch reagie- 


ren, wenn eine SchülerIn nicht mit- 
kommt. Die in der North Carolina 
State University (NCSU) entwickel- 
te Hard- und Softwarekombination soll 
Lehrkräften helfen, gestresste Lernende 
besser zu erkennen — beispielswei- 
se bei E-Learning-Anwendungen, 
wo die Lernenden sich nicht mehr im 
Klassenraum befinden. Das Verfahren 
nutzt Kameras, die die Gesichter der 
Lernenden während eines Seminars er- 
fassen. Mit einer Software, die darauf 
trainiert ist, Gesichtsausdrücke mit ver- 
schiedenen Abstufungen des menschli- 
chen Stressniveaus zu korrelieren, wird 
das Bildsignal dann später analysiert. So 
lässt sich erkennen, welche Studierenden 
Probleme hatten und welche die Arbeit 
eher für zu einfach hielten. 

Das NCSU-Team gab Studierenden 
die Aufgabe, mit der Lernsoftware 
„JavaTutor“ zu trainieren, Code in der 
Programmiersprache Java zu schrei- 
ben. Anschließend wurden insge- 
samt 60 Stunden dabei aufgezeichne- 
tes Videomaterial mit der Computer 
Expression Recognition Toolbox über- 
prüft, die Gesichtsausdrücke einord- 
nen kann. Die Rückschlüsse, die die 
Software zog, wurden dann mit von 
den Studierenden selbst erfassten 
Gefühlszuständen abgeglichen. Beides 
war nahezu deckungsgleich. Gemäß 
Joseph Grafsgaard, Doktorand an der 
NCSU und Co-Autor der Studie, ist 
es das Ziel, ein Tutorsystem zu ent- 
wickeln, das Studierenden direkt hilft, 
die Schwierigkeiten haben, und ih- 
nen wieder „Selbstvertrauen und 
Motivation“ zu geben. Verschiedene 
andere Wissenschaftlergruppen unter- 
suchen ebenfalls, ob sich dieses so- 
genannte Affective Computing im 
Bildungsbereich nutzen lässt. Jacob 
Whitehill,  Softwareingenieur und 
Forscher beim Start-up Emotient, hat 
kürzlich an einer Untersuchung teil- 
genommen, die zeigen sollte, ob die 
Analyse des Gesichtsausdruckes ei- 
nes Menschen durch Software sinnvol- 
le Rückschlüsse auf Prüfungsergebnisse 


zulässt (Kamerasystem ermittelt 
Lernstress, www.heise.de 15.07.2013; 
Knight, Gesichtserfassung erkennt 


überforderte Studenten, www.heise.de 
15.07.2013). 
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Spracherkennung per 
Videokontrolle 


Auf einem internationalen Akustik- 
kongress in Kanada präsentierte der 
Ingenieur Yasuhiro Oikawa von der ja- 
panischen Waseda-Universität, dass 
durch Analyse der Vibrationen am 
Hals einer Redenden erkannt wer- 
den kann, was diese sagt. Oikawas 
Hochgeschwindigkeitskamera erstellt 
10.0000 Bilder pro Sekunde, während 
eine Testperson spricht. Am Rechner 
können dann diese Kamerabilder in 
Sprache übersetzt werden. Bisher ist es 
Oikawa gelungen, mit dieser Methode 
lediglich einzelne Worte zu rekonstru- 
ieren; ganze Sätze sollen folgen (Der 
Spiegel 25/2013, 95). 


Personenortung durch 
Wände per W-LAN 


Anfang Juni 2013 stellten Forschende 
der University of Washington/USA 


Rechtsprechung 


EGMR 


Keine Internetlöschung 
wegen schlechter 
Presserecherche 


Der Europäische Gerichtshof für 
Menschenrechte (EGMR) in Straßburg 
stellte in einer Kammerentscheidung 
vom 16.07.2013 fest, dass Zeitungen 
in Europa nicht verpflichtet sind, 
Artikel aus dem Internet zu nehmen, 
wenn ein Gericht sie als rufschädi- 
gend eingestuft hat (Wegrzynowski et 
Smolczewski c. Pologne, 33846/07). 
Der Fall drehte sich um die polnische 
Tageszeitung Rzeczpospolita und ihre 
Berichterstattung über zwei Anwälte und 
angeblich fragwürdige Geldgeschäfte. 
Polnische Gerichte stellten 2002 fest, 
dass der Textnicht gründlich recherchiert 
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eine durch Wände funktionieren- 
de Gestensteuerung per W-LAN vor. 
Kurz danach zeigten Informatiker des 
Massachusetts Institute of Technology/ 
USA, wie sich W-LAN-Strahlung zur 
Ortung von Personen hinter verschlosse- 
nen Türen nutzen lässt. Die Informatiker 
Dina Katabi und Fadel Adib stellten ihr 
„Wi-Vi“-Projekt vor, das Personen hin- 
ter Wänden orten kann. Die Forschenden 
des Computer Science and Artificial 
Intelligence Laboratory (CSAIL) ent- 
wickelten dafür eine Software, die 
Reflektionen und Veränderung der elek- 
tromagnetischen Strahlung, die von ei- 
nem kabellosen Router ausgeht, nutzt. 
Ein sich bewegender menschlicher 
Körper beeinflusst die Funksignale. So 
lassen sich Ort und Bewegung einer 
Person anhand der Signalmuster bestim- 
men. Auch die Anzahl der Personen im 
Raum wollen die Forschenden mit Hilfe 
der Strahlung auswerten können. In ei- 
nem YouTube-Video demonstrieren sie, 
wie ein durch einen Raum gehender 
Mann das Signalbild verändert. Wi-Vi ist 
demgemäß nur auf einen Empfänger an- 


worden sei und Persönlichkeitsrechte 
verletze. Im Netz blieb er trotzdem weiter 
zu lesen. Die Kammer des EGMR mein- 
te, dass hier die Informationsfreiheit ge- 
genüber dem Schutz des Rufs und der 
Privatsphäre überwiege. Ebenso wie 
das Regionalgericht von Warschau ver- 
trat sie die Ansicht, dass es nicht die 
Aufgabe der Justiz sei, durch Löschen 
von erfolgten Meldungen die Geschichte 
neu zu schreiben. Die Öffentlichkeit 
habe ein legitimes Interesse am Zugang 
zu elektronischen Pressearchiven, 
was durch die Meinungsfreiheit des 
Art. 10 der Europäischen Menschen- 
rechtskonvention geschützt ist. Es 
sei jedoch wünschenswert, dem Per- 
sönlichkeitsrechte verletzenden Artikel 
einen Kommentar hinzuzufügen, in dem 
darüber informiert wird, dass in einem 
Zivilverfahren den Klägern bezüglich 
der Geltendmachung ihrer Persönlich- 


gewiesen, um eine Person zu verfolgen. 
Die vom Körper reflektierte Strahlung 
und ihre sich verändernde Laufzeit zur 
Empfangsstation seien ausreichend, um 
Position und Bewegung zu bestimmen. 
Als Anwendungsbereich ihrer Technik 
sehen die Forschenden unter anderem 
Rettungs- und Bergungsoperationen. 
Die Ortung verschütteter Personen 
könnte so auch durch Objekte oder 
Hindernisse hindurch funktionie- 
ren. In der Sicherheitstechnik wären 
Wi-Vi-Systeme als flächendeckende 
Bewegungssensoren für Gebäude denk- 
bar. Katabi und Adib präsentieren ihre 
Technik auf der SIGCOMM 2013, einer 
Konferenz für Datenkommunikation im 
August 2013 in Hongkong (Ortung von 
Personen: Mit W-Lan durch Wände se- 
hen, www.spiegel.de 05.07.2013). 


keitsrechte wegen des Artikels Recht zu- 
gesprochen worden ist (EuGH: Artikel 
müssen nicht gelöscht werden, SZ 
17.07.2013, 31). 


EuGH 


Millionenstrafe gegen 
Schweden wegen ver- 
späteter Vorratsdaten- 
speicherung 


Der Europäische Gerichtshof (EuGH) 
in Luxemburg hat mit Urteil vom 
30.05.2013 entschieden, dass Schweden 
eine EU-Strafe von 3 Millionen Euro zah- 
lenmuss, weildas Land die EU-Richtlinie 
von 2006 zur Vorratsdatenspeicherung 
nur mit Verspätung umgesetzt und so- 
mit europäisches Recht verletzt habe 
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(Az. C-270/11). Die EU-Richtlinie 
von 2006 (2006/24/EG) schreibt 
den Staaten vor, Verbindungsdaten 
ihrer BürgerInnen (Funkzellen, 
Standortkennung, IP-Adressen usw., 
nichtt Kommunikationsinhalte) zu 
Fahndungszwecken anlasslos für minde- 
stens sechs Monate zu speichern. Viele 
sehen darin einen übermäßigen Angriff 
auf das Grundrecht auf Datenschutz. 
Nach Ansicht des EuGH wirken sich 
Verzögerungen bei der Umsetzung des 
EU-Gesetzes negativ auf die Arbeit 
von Justiz und Polizei aus, die schwe- 
re Straftaten nicht so leicht aufdecken 
könnten. Schweden habe „erhebliche 
Zeit“, nämlich fast fünf Jahre, abge- 
wartet, bis das Land begonnen habe, 
Vorratsdaten zu speichern. 

Der Fall ist für Deutschland von 
Bedeutung, da auch dieses Land im 
Mai 2012 von der EU-Kommission 
verklagt worden ist. Weil nach der 
Aufhebung der nationalen Regelung 
durch das Bundesverfassungsgericht 
keine Neuregelung erfolgt ist, wird auch 
hier nach Ansicht der EU-Kommission 
EU-Recht verletzt, so dass ebenfalls ein 
millionenschweres Bußgeld droht, das 
aber erst nach einem Urteil fällig wür- 
de. Eine Neuauflage scheiterte bisher 
daran, dass sich die CDU/CSU-Fraktion 
bei der Durchsetzung der Richtlinie ge- 
genüber der FDP nicht durchsetzen 
konnte. Die umstrittene EU-Richtlinie 
sollte eigentlich bereits 2012 überarbei- 
tet werden. EU-Kommissarin Cecilia 
Malmström hatte angekündigt, die 
Speicherdauer einschränken zu wollen. 
Bisher sind zwischen sechs Monate und 
zwei Jahre vorgeschrieben. Außerdem 
könnte es Auflagen geben, wie die 
Daten sicher gespeichert werden müs- 
sen (Schweden: EU-Millionenstrafe für 
späte Vorratsdatenspeicherung, www. 
spiegel.de, 30.05.2013) 


BGH 


Google muss bei 
Autocomplete 
Persönlichkeitsrechte be- 
achten 


Der Bundesgerichtshof (BGH) ent- 
schied mit Urteil vom 14.05.2013, dass 
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Google automatische Suchvorschläge 
(Autocomplete) entfernen muss, 
wenn sie Persönlichkeitsrechte verlet- 
zen (Az. VI ZR 269/12). Sobald der 
Suchmaschinenbetreiber über solch 
eine Rechtsverletzung informiert ist, 
ist er verpflichtet, sie für die Zukunft 
zu verhindern. Der BGH gab einem 
Unternehmer als Kläger Recht, der sich 
durch die automatische Ergänzung sei- 
nes Namens um zwei Suchbegriffe in sei- 
nen Persönlichkeitsrechten verletzt sah. 
In den ersten beiden Instanzen vor dem 
Landgericht und dem Oberlandesgericht 
(OLG) Köln war er noch unterle- 
gen. Der BGH verwies den Fall an das 
Berufungsgericht zurück. 

In dem konkreten Fall fühlte sich der 
Kläger durch die automatische Ver- 
vollständigung seines Namens um die 
Begriffe „Scientology“ und „Betrug“ in 
seinen Rechten verletzt. Er behauptet, 
weder in irgendeinem Zusammenhang 
mit Scientology zu stehen, noch sei ihm 
ein Betrug vorzuwerfen. Es stelle auch 
keines der Suchergebnisse einen solchen 
her. Google hatte dagegen argumentiert, 
dass die Suchvorschläge ohne Wertung 
die gegenwärtigen Suchvorlieben im 
Netz widerspiegeln. Dieser Auffassung 
hatte sich das OLG angeschlossen. Der 
BGH stellte fest, dass die Kombination 
des Namens mit den negativ besetz- 
ten Begriffen einen „fassbaren Inhalt“ 
hat, der das Persönlichkeitsrecht des 
Betroffenen verletzen kann. 

Die Frau des ehemaligen Bundes- 
präsidenten, Bettina Wulff, hatte im 
September 2012 ebenfalls Google ver- 
klagt, weil die Suchmaschine bei Ein- 
gabe ihres Namens diesen automatisch 
um Begriffe wie „Escort“ ersetzt. Ihr 
Verfahren wurde im April 2013 verscho- 
ben, um die Entscheidung des BGH ab- 
zuwarten. 

Der BGH betonte allerdings, 
dass Google nicht für jede Persön- 
lichkeitsrechtsbeeinträchtigung durch 
Suchvorschläge haftet: „Der Beklagten 
(Google) ist nämlich nicht vorzuwer- 
fen, dass sie eine Suchvorschläge erar- 
beitende Software entwickelt und ver- 
wendet hat, sondern lediglich, dass sie 
keine hinreichenden Vorkehrungen ge- 
troffen hat, um zu verhindern, dass 
die von der Software generierten 
Suchvorschläge Rechte Dritter ver- 
letzen.“ Nehme ein Betroffener den 


Betreiber einer Internet-Suchmaschine 
mit Suchwortergänzungsfunktion auf 
Unterlassung der Ergänzung persön- 
lichkeitsrechtsverletzender Begriffe bei 
Eingabe des Namens des Betroffenen 
in Anspruch, setze die Haftung des 
Betreibers die Verletzung zumutbarer 
Prüfpflichten voraus: „Der Betreiber ei- 
ner Suchmaschine ist regelmäßig nicht 
verpflichtet, die durch eine Software 
generierten Suchergänzungsvorschläge 
generell vorab auf etwaige Rechtsver- 
letzungen zu überprüfen. Der Betreiber 
ist grundsätzlich erst verantwortlich, 
wenn er Kenntnis von der rechtswidri- 
gen Verletzung des Persönlichkeitsrechts 
erlangt.“ 

In einer ersten Stellungnahme zeig- 
te sich Google-Sprecher Kay Oberbeck 
enttäuscht von der BGH-Entscheidung. 
Erfreulich sei zwar, „dass das Gericht 
die Autovervollständigung für zulässig 
hält und Google nicht verpflichtet, jeden 
angezeigten Begriff vorab zu prüfen.“ 
Nicht nachvollziehen könne Google 
aber die Auffassung des BGH, „dass 
Google für die von Nutzern eingegebe- 
nen Suchbegriffe dennoch haften soll. 
Denn bei den Autovervollständigungen 
handelt es sich um automatisch ange- 
zeigte Begriffe, die Google-Nutzer zu- 
vor gesucht haben.“ Er wies darauf hin, 
dass Google schon jetzt auf Hinweise 
zu Urheberrechtsverletzungen reagie- 
re und solche Seiten als Suchergebnisse 
tilgt, die illegale Downloads ermög- 
lichen. Nutzende, die sich durch die 
Google-Funktion in ihren Persönlich- 
keitsrechten verletzt fühlen, müssen 
sich jetzt über ein schwer auffindba- 
res Formular beim Konzern direkt be- 
schweren. Das Gesuch wird dann von 
der zuständigen Rechtsabteilung ge- 
prüft. Gegebenenfalls würde auch 
Hilfe externer Kanzleien eingeholt. 
Inwieweit Google nun technisch oder 
organisatorisch auf die Entscheidung 
weiter reagiert, ließ Oberbeck of- 
fen. Bundesjustizministerin Sabine 
Leutheusser-Schnarrenberger lobte 
die Stärkung der Persönlichkeitsrechte 
durch den BGH: „Gut, dass Google jetzt 
arbeiten muss“ (Janisch, Niederlage 
für Google, SZ 15.05.2013, 1, 4, PE 
BGH, Bundesgerichtshof entscheidet 
über die Zulässigkeit persönlichkeits- 
rechtsverletzender Suchergänzungs- 
vorschläge bei „Google“ 15.05.2013; 


DANA » Datenschutz Nachrichten 3/2013 


BGH zu Autocomplete: Google muss in 
Suchvorschläge eingreifen, www.heise. 
de 16.05.2013; Google ist, Der Spiegel 
21/2013, 133). 


BGH 


Peilsendereinsatz durch 
Detektive grundsätzlich 
strafbar 


Der Bundesgerichtshof (BGH) stell- 
te mit Urteil vom 04.06.2013 klar, 
dass die Überwachung von Personen 
mit Peilsendern grundsätzlich nach 
den $$ 44 i. V. m. 43 Abs. 2 Nr. 3 
Bundesdatenschutzgesetz (BDSG) 
strafbar ist und nur in absoluten 
Ausnahmefällen gerechtfertigt sein kann 
(1 StR 32/13). Lediglich bei einem „star- 
ken berechtigten Interesse“ — also not- 
wehrähnlichen Situationen, in denen 
zum Beispiel die berufliche Existenz auf 
dem Spiel steht- könne dies erlaubt sein. 
Dazu zähle aber auf gar keinen Fall eine 
Observation etwa von Eheleuten, die 
sich der Untreue verdächtigen. Der BGH 
bestätigte damit im Grundsatz ein Urteil 
des Landgerichts (LG) Mannheim aus 
dem Jahr 2012, in dem zwei Detektive 
zu Bewährungsstrafen verurteilt wor- 
den waren. Ein Teil der seinerzeit ver- 
handelten Fälle wurden jedoch an das 
LG zurückverwiesen. Dort muss die 
Frage eines „berechtigten Interesses“ 
geklärt werden, was bisher nicht aus- 
reichend erfolgte. Soweit nach den 
Urteilsfeststellungen die Annahme ei- 
nes berechtigten Interesses von vormn- 
herein ausgeschlossen war, hatten die 
Schuld- und Einzelstrafaussprüche des 
LG Bestand. 

Die beiden Privatermittler einer 
Stuttgarter Detektei hatten an den 
Autos ihrer „Zielpersonen“ GPS-Sender 
(Global Positioning System) ange- 
bracht und damit Bewegungsprofile er- 
stellt. Unter anderem sollte die Untreue 
von Eheleuten nachgewiesen wer- 
den. Außerdem wurden krankgeschrie- 
bene Beschäftigte überwacht; zudem 
sollten im Auftrag eines Labors über 
Mitarbeitende einer Krankenkasse kom- 
promittierende Daten gesammelt wer- 
den. Einer der beiden Detektive mein- 
te vor Gericht: „Wenn ich gewusst 
hätte, dass ich GPS nicht verwenden 
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darf, hätte ich das nicht gemacht.‘ Die 
Überwachung per Peilsender ist gemäß 
dem BGH-Urteil ein schwerwiegender 
Eingriff in das Persönlichkeitsrecht des 
Betroffenen: „Wenn man nicht weiß, ob 
so was erlaubt ist, dann muss man es 
lassen.“ Die Anwältinnen der Detektive 
hatten zuvor die bisherige unklare 
Rechtsprechung moniert und argumen- 
tiert, dass GPS-Daten keine personenbe- 
zogenen Daten und zudem allgemein zu- 
gänglich seien. Auch dem widersprach 
der BGH: Der Personenbezug sei mit 
dem Einsatz des GPS von vorneherein 
gegeben. Auch seien diese Daten schon 
deshalb nicht für jedermann zugänglich, 
weil sie nur mithilfe des heimlich in ein 
fremdes Auto eingebauten Senders ge- 
wonnen werden könnten. 

Andreas Heim vom Bund 
Internationaler Detektive (BID) kom- 
mentierte die strafbare Praxis: „Wir ma- 
chen höchstens Bilder und sprechen un- 
sere Erkenntnisse auf ein Diktiergerät. 
Der Einsatz von GPS-Systemen ist tabu.“ 
Generell müssten sich Detektive auf das 
Hören, Sehen und Beobachten verlassen. 
Auch Horst Probst vom Bundesverband 
Deutscher Detektive (BDD) betonte: 
„Im Zweifel Finger weg von technischen 
Hilfsmitteln“ (BGH verbietet Peilsender, 
www.n-tv.de, 04.06.2013; Überwachung 
von Personen mittels an Fahrzeugen an- 
gebrachter GPS-Empfänger ist grund- 
sätzlich strafbar, www.kostenlose-urtei- 
le.de, 04.06.2013; Peilsender verboten, 
SZ 05.06.2013, 6). 


BGH 


Kein Ersatz für 
Detektiv-GPS- 
UÜberwachungskosten 


Ein geschiedener Ehemann darf ge- 
mäß einem Beschluss des Bundes- 
gerichtshofes (BGH) vom 15.05.2013 
im Unterhaltsstreit mit seiner Ex-Frau 
einen Detektiv einsetzen und ihr die 
Kosten dafür in Rechnung stellen. Dies 
gilt jedenfalls dann, wenn er durch den 
Detektiveinsatz nachweisen kann, dass 
die ehemalige Gattin mit einem ande- 
ren Mann zusammenlebt. Detektivische 
Beobachtungen sind demnach erlaubt 
und erstattungsfähig — der Einsatz von 
GPS-Sendern für ein umfassendes 


Bewegungsprofil jedoch nicht (Az. XII 
ZB 107/08). 

Der Kläger war zur Zahlung von nach- 
ehelichem Unterhalt verurteilt worden. 
Seine Ex-Frau hatte in dem Verfahren 
angegeben, ihre Beziehung zu einem 
anderen Mann sei inzwischen beendet. 
Später lebte die Frau aber wieder mit 
dem neuen Partner zusammen. Damit 
war auch der Anspruch auf Geld vom 
Ex-Mann verwirkt. Zur Vorbereitung 
einer Abänderungsklage engagier- 
te dieser ein Detektivbüro und woll- 
te die Überwachungskosten später von 
der Frau erstattet haben. Gemäß dem 
Urteil des BGH ist dies grundsätzlich 
möglich. Zu den Prozesskosten könnten 
auch Kosten gehören, „die durch recht- 
mäßige Maßnahmen zur Vorbereitung 
eines bevorstehenden Verfahrens aus- 
gelöst werden“. Dazu könnten auch 
Detektivkosten gehören, wenn sie auf 
der Grundlage eines konkreten Verdachts 
zur Durchsetzung des Rechts notwendig 
gewesen seien. Bedingung sei allerdings, 
dass sich die Detektivkosten „in ange- 
messenem Verhältnis zur Bedeutung des 
Streitgegenstandes halten und die er- 
strebte Feststellung nicht einfacher oder 
billiger zu erzielen war.“ 

Die Frau muss im entschiedenen 
Fall nicht die komplette Rechnung des 
Detektivbüros begleichen. Die aus- 
gespähten Partner müssten nur die 
Kosten für die vor Gericht zulässigen 
Beweismittel tragen. Mit GPS-Sendern 
erstellte Bewegungsprofile zählten nicht 
dazu, weil sie gegen das Recht auf in- 
formationelle Selbstbestimmung der 
Betroffenen verstoßen. Zulässig sei da- 
gegen eine „punktuelle persönliche 
Beobachtung“ der Ex-PartnerIn. Auch 
damit könne bewiesen werden, dass der 
oder die Ex wieder in einer „verfestig- 
ten“ Gemeinschaft lebt. Am 04.06.2013 
urteilte der BGH, dass Privatdetektive 
generell keine Peilsender einsetzen 
dürfen, um Personen zu überwachen. 
Lediglich bei einem „starken berechtig- 
ten Interesse“ — also notwehrähnlichen 
Situationen, in denen zum Beispiel die 
berufliche Existenz auf dem Spiel stehe 
— könne dies erlaubt sein (s.o. Az. 1 StR 
32/13; BGH-PE Nr. 121/13 12.07.2013, 
Detektivkosten im Unterhaltsrechtsstreit 

Juris.bundesgerichtshof.de; Muss 
Ex-Frau ihre Überwachung bezahlen? 
www.n-tv.de 12.07.2013). 
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Buchbesprechung 


Grundrechtsschutz 


im Internet? 


Kutscha, Martin/Thom&, Sarah 
Grundrechtsschutz im Internet? 
Nomos Verlag Baden-Baden, 2013, 
ISBN 978-3-8329-7907-2, 153 S. 


tw — Es kommt nicht von ungefähr, 
dass die beiden AutorInnen ihren Titel 
„Grundrechtsschutz im Internet?“ mit 
einem Fragezeichen versehen haben. 
Zwar gibt es manchen Anlass für ein- 
zelne Ausrufezeichen, und das Buch 
ist hierfür ein Beleg, doch belegt es zu- 
gleich die bestehenden Defizite. Es istin 
zwei Teile geteilt. Im ersten dekliniert 
Martin Kutscha unsere für das Internet 
wesentlichen Grundrechte mit juristi- 
scher Routine durch. Im zweiten Teil 
befasst sich Sarah Thome& weniger um- 
fassend mit praktischen und institutio- 
nellen Problemen des Datenschutzes im 
Internet. 

Eigentlich sollte es selbstverständ- 
lich sein, dass das Internet kein (grund-) 
rechtsfreier Raum ist, zumal wenn das 
Internet in Deutschland, einem ausgewie- 
senen Rechtsstaat, zum Einsatz kommt. 
Doch Ubiquität, Intransparenz, techni- 
sche Konvergenz und Globalität sind 
teilweise ungeklärte Herausforderungen 
für die Durchsetzung des Rechts und der 
Grundrechte. So ist von hoher prakti- 
scher Relevanz, dass rechtlich nicht oder 
nur schwer zu greifende aus den USA 
heraus agierende globale Unternehmen 
die Internetdatenverarbeitung dominie- 
ren und bestimmen. Kutscha nähert sich 
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dieser wie einer Vielzahl weiterer prakti- 
scher Phänomene, etwa den erweiterten 
staatlichen Ermittlungsmöglichkeiten 
per Online-Durchsuchung oder E-Mail- 
Beschlagnahmen oder den auftauchen- 
den Interessensabwägungsproblemen, 
in einer unaufgeregten und zugleich 
sehr engagierten rechtlichen Weise. Er 
unterscheidet sich dadurch wohltuend 
von vielen ideologisch und kommerziell 
motivierten Menschheitsbeglückern und 
Besserwissern, die immer noch die öf- 
fentliche Debatte bestimmen. 

Kutscha leitet das Recht auf informa- 
tionelle Selbstbestimmung und das Recht 
auf Gewährleistung der Vertraulichkeit 
und Integrität informationstechnischer 
Systeme historisch und dogmatisch ab 
und stellt diese Persönlichkeitsrechte so- 
wie das Telekommunikationsgeheimnis 
ins Verhältnis zu anderen Grundrechten, 
etwa die Informations- und Meinungs- 
freiheit oder die wirtschaftlichen Rechte 
auf Schutz des Urheberrechts, des 
Eigentums und des Berufs. Er stellt 
die berechtigte Frage, inwieweit die 
Grundrechte dem Staat im Hinblick auf 
die Nutzung des Internets grundrechtlich 
begründete Gewährleistungspflichten 
auferlegt. Zugleich kritisiert er die lauter 
werdenden Stimmen der Relativierung 
der Menschenwürdegarantie und - 
m. E. nicht zu Recht — die durch das 
BVerfG aufgrund der informations- 
technischen Gegebenheiten zwangsläu- 
fig vorgenommene Aufweichung des 
Kernbereichsschutzes. 

Sarah Thome befasst sich mit den in- 
stitutionellen Defiziten beim Grundrecht 
auf Datenschutz, die für sie vorrangig 
folgende sind: Ungenügende Unab- 
hängigkeit, Trennung zwischen öffentli- 
chem und privatem Bereich und unzu- 
reichende Sanktionsmöglichkeiten. Sie 
thematisiert die nationalen Grenzen 
der Aufsicht angesichts internationa- 
len Datenverkehrs und sucht rechtliche 
Anknüpfungspunkte für die Kontroll- 
und Sanktionstätigkeit. Realistisch 
werden bestehende Datenschutzinstru- 
mente wie z. B. Safe Harbor oder die 
Angemessenheitsprüfung ausländischer 


Datenschutzstandards problematisiert, 
ohne aber eigene klare Kanten zu zie- 
hen, wie hier rechtspolitisch und recht- 
spraktisch vorgegangen werden kann 
und sollte. So ist die LeserIn zwar nach 
der Lektüre besser informiert, aber nicht 
gerade ermutigt. 

Tatsächlich ist das Buch nicht als 
Kampfschrift konzipiert und geeignet, 
wenngleich viele, vor allem die recht- 
lichen Argumente für den Kampf für 
digitale Grundrechte, zum Ansatz ge- 
bracht werden können. Es will auch 
keine umfassende Abhandlung zum 
Grundrechtsschutz im Internet sein. Wohl 
aber bereitet es viele gute Informationen 
und Argumente für die Erörterung die- 
ses Themas auf und ist insofern zu emp- 
fehlen. Es gibt noch einiges zu tun, bis 
beim Titel das Fragezeichen durch viele 
Ausrufezeichen ersetzt ist. 
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Gebrauchsanweisung |] 
zur digitalen 
Selbstverteidigung 


Heuer, Steffan/Tranberg, Pernille 
Mich kriegt Ihr nicht! 
Gebrauchsanweisung zur digitalen 
Selbstverteidigung, 

Murmann, Hamburg 2013, 

ISBN 978-3-86774-243-6, 238 S. 


tw — Das Buch ist einerseits mehr — an- 
dererseits weniger als der Untertitel ver- 
spricht: Es ist mehr, weil es quellen- und 
umfangreich in einer leicht verständli- 
chen klaren Sprache darüber informiert, 
wie im Internet gegen den Datenschutz 
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nach modernem europäischen Ver- 
ständnis verstoßen wird. Es ist weniger, 
weil es nur auf 30 Seiten — das aber äu- 
Berst kenntnisreich und nachvollzieh- 
bar — darstellt, mit welchen technischen 
SelbstschutzmaßnahmendiePrivatsphäre 
im World Wide Web verteidigt werden 
kann. Bevor es also Therapievorschläge 
macht, erfolgt eine ausführliche Diag- 
nose. Diese ist auf dem Stand der ak- 
tuellen Medien-Berichterstattung über 
Internetdatenschutz — vor Snowden. Mir 
ist keine derart konsistente Darstellung 
der aktuellen Trends und Fakten in 
Bezug auf die legale und illegale in- 
formationelle Fremdbestimmung und 
Ausbeutung bekannt. Wer insofern täg- 
lich die Online-Medien verfolgt, findet 
hier viel wieder und erfährt allenfalls 
wenige neue Details. Adressaten des 
Buches sind aber nicht primär die Nerds, 
sondern die durchschnittlichen Internet- 
UserInnen. Und diese werden hier be- 
stens informiert — zum Identitätsklau, 
zur Kommerzialisierung digitaler Daten, 
zur Datennutzung durch Arbeitgeber, 
zu den Datenschutzproblemzonen von 


Cartoon 


Smartphones und Handys, zum Tracking 
und Profiling, zur Nutzung des Internet 
für Zwecke der Unterhaltung, der digi- 
talen Körperüberwachung, der sozialen 
und Beziehungskommunikation. Die 
Themen Mobbing, Anonymität im Netz 
und digitaler Tod werden behandelt. 

Im kürzeren zweiten Teil nennen 
die beiden AutorInnen, ein deutscher 
Journalist in den USA und eine däni- 
sche Kollegin, in vier Qualitätsstufen 
Tipps und Trick, indem sie Werkzeuge 
zum Schutz informationeller Selbst- 
bestimmung im Netz präsentieren. 
Auch hier ist wieder nicht der Freak 
Adressat, sondern die Normal-Userln, 
wobei die AutorInnen mit ihren Schritt- 
auf-Schritt-Hinweisen, der Nennung 
von hilfreichen Webseiten und Tools 
der Nutzenden von Facebook, Google 
& Co. sowie der Erklärung von deren 
Funktionieren und deren Hintergründe 
nicht nur brauchbare Anleitungen ge- 
ben, sondern zugleich zum Verständnis 
der Selbstschutzmechanismen beitragen. 
Das Werk ist als Hilfe zur Selbsthilfe 
angelegt, macht keine politischen, mo- 
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AMERIKANISCHE 
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ralischen oder detaillierte rechtlichen 
Ausführungen. Es ist aber eine kla- 
re Parteinahme für den Datenschutz 
und gegen die kommerzielle und staat- 
liche Ausbeutung der UserInnen- 
Daten. Insofern kommt es — nach 
Bekanntwerden des Prism/Tempora- 
Komplexes — genau zur richtigen Zeit 
und füllt eine Marktlücke, indem es 
Fragen beantwortet, die sich UserInnen 
mit Bekanntwerden der Snowden- 
Enthüllungen erstmals stellen, wenn- 
gleich das Buch vor Bekanntwerden 
der Details von der flächendeckenden 
Internetüberwachung verfasst wurde. 
Nur manchmal scheint es insofern etwas 
eindimensional, dass es allzu überzeugt 
zu sein scheint, dass der Datenschutz im 
Internet sich immer stärker durchsetzen 
wird. Doch dieser Zweckoptimismus 
wird nicht übertrieben; das Buch selbst 
ist ein Beleg für diese These. Die ideale 
Geschenkidee für erwachsene kritische 
Internet-UserInnen, die es — statt nur im- 
mer die Oberfläche von Bildschirmen 
und Displays zu sehen — erstmals genau- 
er wissen wollen. 


WEIL SIE JETZT SCHON 
EINE GANZE WEILE DAMIT 
BESCHÄFTIGT SIND, 
MICH ABZUHÖREN. 
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